Check Point Research publie son dernier état des lieux du ransomware : activité toujours soutenue, écosystème plus fragmenté que jamais et tactiques d’extorsion qui se professionnalisent. Une dynamique qui confirme que, malgré les opérations policières, la menace continue d’évoluer sans ralentir.
Un niveau d’activité toujours très élevé
Au 3ᵉ trimestre 2025, 1 592 victimes ont été recensées dans le monde, un volume 25 % supérieur à 2024. Le rythme demeure stable, avec environ 535 attaques par mois, malgré le démantèlement de plusieurs infrastructures RaaS depuis le début de l’année. Plus frappant encore : 85 groupes actifs ont été identifiés. C’est le niveau de fragmentation le plus élevé jamais enregistré. Les dix groupes principaux ne représentent plus que 56 % des victimes, signal d’un paysage beaucoup plus dispersé.
Extorsion de données : la tactique qui s’installe
Le rapport confirme une tendance structurelle : l’extorsion fondée sur les données devient centrale. Les groupes exploitent les informations volées pour maximiser la pression financière, ce qui transforme le ransomware en problème de gouvernance et de réputation, bien au-delà de la simple compromission d’un poste de travail. Check Point note également que l’écosystème fonctionne désormais comme un cartel mouvant : lorsque des acteurs majeurs sont démantelés, les affiliés migrent rapidement vers d’autres marques ou lancent leurs propres plateformes de fuite.
Tendances régionales, nouveaux services criminels et acteurs émergents
Les États-Unis restent la première cible mais l’Europe de l’Ouest suit de près. La Corée du Sud entre dans le top 10, portée par les campagnes ciblées de Qilin. Côté secteurs, la fabrication et les services aux entreprises sont les plus touchés. La santé reste autour de 8 %, malgré une relative retenue affichée par certains groupes comme Play.
DragonForce propose désormais des services « d’audit de données » pour générer des messages d’extorsion personnalisés. Le retour de LockBit 5.0 pourrait recentrer une partie des affiliés autour de marques RaaS considérées comme plus « fiables».
