À l’occasion de la Journée mondiale de lutte contre les ransomwares, célébrée chaque 12 mai, la société Kaspersky a publié son rapport annuel intitulé « État des Ransomwares 2025 », qui examine l’évolution des menaces liées aux ransomwares à l’échelle régionale et mondiale.
Le rapport révèle une légère augmentation du pourcentage d’utilisateurs ciblés par ces attaques entre 2023 et 2024, atteignant 0,44 % du total des cyberattaques, soit une hausse de 0,02 point de pourcentage.
Bien que ce pourcentage ait diminué, la gravité de la menace réside dans le ciblage d’entités sensibles et stratégiques, ce qui remplace les attaques aléatoires à grande échelle.
### Régions les plus vulnérables : le Moyen-Orient, l’Asie et l’Afrique en première ligne
Les données du réseau de Kaspersky montrent que les régions du Moyen-Orient, de l’Asie-Pacifique et de l’Afrique figurent en tête des zones les plus ciblées par les ransomwares, suivies par l’Amérique latine, l’Asie centrale et l’Europe. Cette augmentation des attaques est attribuée à la transition numérique rapide, aux disparités dans la préparation des infrastructures de sécurité, et à l’expansion continue de la surface d’attaque numérique.
En Afrique, la croissance de l’économie numérique dans des pays comme le Nigeria et l’Afrique du Sud a entraîné une augmentation significative des attaques, notamment dans les secteurs public, industriel et financier, malgré un faible niveau de sensibilisation et de ressources sécuritaires. En Asie-Pacifique, les attaques visent des institutions dans des pays à croissance économique rapide, particulièrement celles qui ont adopté de nouvelles lois sur la protection des données.
En Europe, bien qu’elle soit régulièrement exposée à des attaques de ransomwares, elle bénéficie de systèmes réglementaires solides et de stratégies d’intervention efficaces, ce qui atténue les effets de ces attaques. En revanche, l’Amérique latine fait face à une augmentation des ciblages des secteurs de l’énergie, de l’industrie et de l’agriculture, bien que des facteurs économiques contribuent à réduire le niveau de menace de manière relative.
### L’intelligence artificielle change la donne
Le rapport souligne clairement que l’évolution des ransomwares ne se limite plus à la programmation traditionnelle, mais que les outils d’intelligence artificielle (IA) sont maintenant intégrés de manière significative, comme en témoigne le groupe FunkSec qui a émergé fin 2024 et a rapidement surpassé des groupes réputés tels que Cl0p et RansomHub. FunkSec applique le modèle « ransomware en tant que service » et utilise l’IA pour générer des codes et des commentaires au sein des malwares, rendant leur détection plus complexe et accélérant leur développement.
Contrairement à d’autres groupes qui demandent des sommes d’argent énormes, FunkSec opte pour une stratégie d’attaques massives avec de faibles montants de rançon, ciblant les secteurs public, technologique, éducatif et financier, notamment en Europe et en Asie.
### Le modèle « ransomware en tant que service » continue de se répandre
Les plates-formes RaaS (Ransomware-as-a-Service) demeurent le principal moteur de la propagation des attaques, en fournissant des outils prêts à l’emploi, un support technique et des programmes de partage des bénéfices, permettant même aux acteurs non spécialisés de mener des attaques avancées. L’année 2024 a vu l’émergence de plusieurs nouveaux groupes bénéficiant de ce modèle.
### Évolution des tactiques et ciblage de nouvelles vulnérabilités
Le rapport met en garde contre la tendance des attaquants à recourir à des méthodes plus créatives, comme l’utilisation de caméras web pour contourner les systèmes de défense, à l’instar du groupe Akira. Les dispositifs intelligents connectés et les équipements obsolètes pourraient devenir des points d’entrée privilégiés pour les attaques, avec l’augmentation de la dépendance aux systèmes intelligents et connectés. Les attaques futures se concentreront sur la furtivité et la mobilité à l’intérieur des réseaux, rendant leur détection plus difficile pour les défenseurs.
Le rapport souligne également un risque croissant découlant de la disponibilité de modèles linguistiques massifs dédiés aux crimes cybernétiques, utilisés pour concevoir des malwares, des campagnes de phishing et d’ingénierie sociale, même par des non-spécialistes. Des technologies modernes telles que l’automatisation des processus robotiques (RPA) et le développement à faible code (LowCode) pourraient être utilisées par les criminels pour accélérer l’exécution des attaques et en étendre la portée.
### Commentaire d’un expert de Kaspersky
À cet égard, Mark Rivero, chercheur principal au sein de l’équipe GReAT de Kaspersky, a déclaré : « Les ransomwares constituent aujourd’hui une menace omniprésente qui n’épargne personne, et leur complexité croît chaque jour. Le rapport met en lumière l’exploitation par les attaquants de vulnérabilités non conventionnelles telles que l’Internet des objets et les appareils intelligents. Pour lutter contre cette menace, des défenses multiples doivent être adoptées, comprenant des mises à jour régulières, un réseau segmenté, des sauvegardes et une surveillance continue, ainsi qu’une sensibilisation accrue des utilisateurs et le renforcement de la culture de la cybersécurité à tous les niveaux. »
