En mars 2024, un affilié du groupe de ransomware BlackCat s’est plaint sur un forum dédié à la cybercriminalité. Il avait mené l’attaque contre Change Healthcare – l’une des plus importantes fuites de données dans le secteur de la santé de l’histoire des États-Unis, mais n’avait jamais reçu sa part des 22 millions de dollars de rançon. Les opérateurs de BlackCat avaient empoché l’argent et avaient disparu, publiant un faux avis de saisie du FBI sur leur site de divulgation pour couvrir leur fuite. 

Cette plainte ressemble presque à un litige entre sous-traitants. Si l’on fait abstraction de l’aspect criminel et de cette apparente trahison, on retrouve ce que n’importe quel dirigeant d’entreprise pourrait connaître : des accords commerciaux comprenant des chaînes d’approvisionnement, des tarifs, de la concurrence et des clients qui attendent d’en avoir pour leur argent. Les ransomwares d’aujourd’hui fonctionnent selon cette même logique. 

Pourtant, de l’extérieur, les choses sont bien différentes. Pour une personne non avisée, les attaques ressemblent à une effraction accompagnée d’une demande de rançon : quelqu’un s’introduit, verrouille (et vole) les fichiers sensibles, communique une demande de rançon pharamineuse et attend sa récompense. C'est clair et simple, mais aussi quelque peu incomplet. On comprend que l'explosion et surtout son impact fassent la une des journaux, tandis que tout ce qui l'a alimentée reste « hors champ ». Pourtant, c’est bien par-là que tout commence, non ? Une bonne part de ce qui a permis à l’attaque de réussir s’est produite hors de tout regard. 

Un prix trop bas pour échouer 

Derrière la « vitrine » des ransomwares, c’est tout un écosystème qui se tient : une sorte de système de franchise, ou peut-être une économie de la précarité, avec sa main d’œuvre et ses outils de prédilection, ses services d’abonnement, ses fournisseurs, ses partenaires, et même quelque chose qui s’apparente à des accords de niveau de service entre les parties concernées. Collectivement, ils ouvrent la voie à l’intrusion bien avant l’arrivée de la demande de rançon. Ainsi, si votre organisation considère un incident de ransomware uniquement comme une intrusion quasi aléatoire survenue presque de nulle part, ses défenses ne tiendront pas compte de l’ampleur des ressources et du caractère répété de la menace. 

Le secteur est conçu de telle sorte que chaque participant n’a besoin d’être compétent que dans sa fonction (souvent restreinte). Le développeur qui gère la plateforme de ransomware et la “marque” n’a jamais à se soucier de toucher à l’environnement d’une victime pour gagner sa récompense. L’affilié paie une commission ou des frais d’accès en utilisant des identifiants qu’il n’a pas récoltés lui-même. Le courtier d’accès initial qui vend un point d’ancrage dans un réseau d’entreprise ne sait pas (et n’a même pas besoin de savoir) ce que l’acheteur compte faire avec ces identifiants. 

Mais ensemble, ils ont appliqué la logique de la franchise à l'univers de la rançon, se répartissant ainsi la responsabilité. Et chaque fois qu’un secteur s’organise de cette manière, le volume suit. 

Les données de détection d'ESET montrent une augmentation de 13 % des attaques par ransomware au second semestre 2025 par rapport aux six mois précédents, après une hausse de 30 % au premier semestre 2025. Parallèlement, le rapport 2025 de Verizon sur les enquêtes relatives aux violations de données (DBIR) a enregistré une hausse de 32 % à 44 % de la part des violations impliquant des ransomwares, tandis que le montant médian des rançons versées est passé de 150 000 $ à 115 000 $. Les cibles évoluent également. L'analyse de Mandiant montre une tendance vers des organisations plus petites dont les défenses sont moins développées. 

Des cibles plus nombreuses (et plus vulnérables) associées à des montants de rançon plus modestes correspondent à une stratégie classique de volume.

eset ransomware detections
Figure 1. Évolution de la détection des ransomwares au premier semestre 2025 et au second semestre 2025, moyenne mobile sur sept jours (source : Rapport sur les menaces ESET, second semestre 2025)

Les ransomwares n’ont rien d’aléatoire 

Les auteurs de ransomwares ont appliqué la logique du système de franchise à l’« art » ancestral du chantage, se répartissant ainsi la responsabilité de leurs actes. Il faut reconnaître que les rouages internes de ce que l'on appelle souvent le « ransomware-as-a-service » (RaaS) sont plus chaotiques que ceux, par exemple, d'une chaîne de restauration rapide : la coordination est approximative et les guerres de territoire sont bien réelles, voire parfois publiques. Pourtant, la logique sous-jacente reste la même. Le secteur vit et meurt de la confiance entre ses participants et des motivations qui les lient. Et comme nous le savons, ces mêmes motivations sont bien connues pour déterminer les résultats plus que toute autre chose. 

À tel point que le secteur est désormais saturé. La concurrence entre individus s’étend généralement à tous les niveaux : d’abord entre les proches et les familles, ensuite entre les communautés, et enfin entre les nations. Dans le monde numérique, les hackers solitaires en quête de notoriété se sont transformés en groupes organisés rivalisant pour obtenir un territoire, lesquels sont ensuite devenus un réseau interconnecté d’experts malveillants se disputant des parts de marché. Libérés des contraintes des frontières et des administrations, les cybercriminels ont condensé en quelques années un processus qui a pris des décennies aux industries et organisations légitimes. 

Les forces de l'ordre ne restent bien sûr pas les bras croisés, et les actions ciblées créent une réelle incertitude et entraînent des coûts concrets. Mais la fermeture d'une entreprise sur un marché concurrentiel ne signifie pas pour autant la fin de ce marché. Tant que les motivations restent les mêmes, la disparition d'un groupe de ransomware déclenche une concurrence entre les survivants pour prendre sa place. De nouveaux acteurs apparaissent, d’autres changent de nom ou s’associent à d’autres malfaiteurs, les clients choisissent de nouveaux fournisseurs, les stratégies éprouvées survivent. Même les luttes internes entre groupes cybercriminels contribuent à éliminer les acteurs les plus faibles du marché, exactement comme un fonctionnement de concurrence classique.  

Par exemple, lorsque LockBit et BlackCat ont été démantelés par les forces de l'ordre en 2024, leurs affiliés se sont principalement tournés vers RansomHub. En 2025, DragonForce – un acteur relativement mineur à l'époque – a piraté les sites de plusieurs rivaux et mis hors service le site de RansomHub, alors “leader” du secteur. Lorsque RansomHub s'est fait discret, Akira et Qilin ont absorbé sa part de marché. Ce schéma se répète car les obstacles restent faibles, les outils sont disponibles sous forme de service, et la main-d'œuvre est si facilement remplaçable que l'offre ne peut jamais vraiment manquer de participants. Les opérations de ransomware sont conçues pour s'étendre à grande échelle, en raison notamment du fait que les acteurs n’ont pas forcément besoin de compétences exceptionnelles.  

La course de la Reine Rouge 

Au fil des ans, le mode opératoire traditionnel des ransomwares, à savoir verrouiller les fichiers et exiger une rançon, a cédé la place à la double extorsion, où les attaquants volent les données d’entreprise avant de les chiffrer et publient au moins des échantillons de leur butin sur des sites spécialisés dans la divulgation de données. Le FBI et la CISA qualifient désormais systématiquement les ransomwares de problème de « vol de données et d’extorsion ». 

Mais les dangers spécifiques évoluent eux aussi rapidement. Il y a à peine deux ans, ClickFix – une technique d’ingénierie sociale où un faux message d’erreur incite les utilisateurs à copier-coller et à exécuter des commandes malveillantes – n’était pratiquement connu de personne. Aujourd’hui, cette technique est largement répandue et utilisée aussi bien par des groupes soutenus par des États que par des groupes de cybercriminels.

lockbit leak site
Figure 2. Site de publication des données volées par LockBit (source : ESET Research)

D'un autre côté, cette rapidité d'adaptation n'a rien de surprenant quand on sait qu'une forme similaire existe dans la nature depuis toujours (ou presque). Les individus en concurrence doivent s'adapter en permanence ne serait-ce que pour conserver leur position. Les prédateurs deviennent plus rapides, alors les proies le deviennent aussi. Ces dernières développent un camouflage, alors les prédateurs affinent leur vision. En biologie, on appelle cela « l'effet de la Reine Rouge (Red Queen Effect) », du nom d'un personnage de De l'autre côté du miroir de Lewis Carroll qui doit courir sans cesse pour rester sur place.

Les professionnels de la sécurité reconnaîtront cette dynamique, même si des appellations plus courantes – telles que la course aux armes ou le jeu dit du chat et de la souris – risquent de la sous-estimer. L’effet de la Reine Rouge décrit quelque chose de plus spécifique : une adaptation qui ne procure aucun avantage net, car l’autre partie s’adapte presque en parallèle.

Sa manifestation la plus évidente à ce jour se situe à la frontière entre les outils des responsables de la sécurité et les contre-outils des pirates. Les solutions de détection et de réponse aux incidents sur les endpoints (EDR) et de détection et de réponse étendues (XDR) sont essentielles pour repérer le type d’activités menées par les auteurs de ransomware au sein des réseaux compromis. À mesure que ces solutions se sont perfectionnées, les cybercriminels ont réagi en créant un marché clandestin pour des outils destinés à les neutraliser.

Et là où il y a un marché, il y a un produit et celui-ci se trouve généralement en grande quantité.

Les chercheurs d'ESET ont recensé près de 90  "EDR Killers” actuellement en service. 54 d'entre eux exploitent la même technique sous-jacente : charger un pilote légitime mais vulnérable sur la machine cible et l'utiliser pour obtenir les privilèges au niveau du noyau nécessaires pour désactiver le produit de sécurité. Cette technique est appelée « Bring Your Own Vulnerable Driver » (BYOVD), et les pilotes vulnérables sont des produits de base : le même pilote apparaît dans des outils sans rapport les uns avec les autres, et le même outil migre d'un pilote à l'autre au fil des campagnes.

Le marché des « EDR killers » est le reflet de l’économie des ransomwares qu’il sert. Ces anti-outils sont fournis avec des services d’obfuscation par abonnement qui se mettent régulièrement à jour pour garder une longueur d’avance sur la détection. Ce sont généralement les affiliés, et non les opérateurs de ransomwares, qui choisissent quel « killer » déployer : la décision d’achat est prise au niveau de la franchise. Lorsque le produit défensif est mis à jour, le service d’obfuscation suit. Encore une fois, c’est le principe de la « Reine Rouge » que nous avons évoqué un peu plus haut.

L'investissement considérable dans les « EDR killers » est, d'une certaine manière, la mesure la plus claire de l'ampleur des dommages que les outils de détection infligent au modèle économique criminel.

Et ces anti-outils pourraient encore se développer, car l’IA rend le marché bien plus facile d’accès, sans parler de l’économie plus large de la cybercriminalité. Les chercheurs d’ESET soupçonnent que l’IA ait contribué au développement de certains « EDR killers » : les produits du gang Warlock en sont un exemple. L’année dernière, les experts d’ESET ont également repéré le premier ransomware alimenté par l’IA, bien que ce ne fût pas dans le cadre d’attaques réelles. Par ailleurs, d’autres chercheurs ont documenté ce qu’ils appellent le « vibeware » : des logiciels malveillants assistés par l’IA, produits en masse et destinés à inonder l’environnement cible de code jetable dans l’espoir que certains parviennent à passer. La barrière à la production de logiciels malveillants s’est abaissée à un point tel que la contrainte réside désormais dans l’intention plutôt que dans des compétences redoutables. Un parfait reflet finalement de ce que nous avons observé sur la scène plus large de la cybercriminalité en elle-même.

Analyser le marché

Considérer les ransomwares uniquement comme des attaques conduit à mettre en place des défenses axées uniquement sur ce type de menaces. Mais si l'on envisage les ransomwares comme un secteur d'activité à part entière, d'autres enjeux apparaissent.

Voici quelques questions qu'il convient de se poser : comment évolue la dynamique de la « Reine rouge » entre les solutions de sécurité et les anti-outils ? Quels processus, techniques et outils malveillants circulent actuellement ? Notre infrastructure de sécurité est-elle capable de repousser une attaque BYOVD utilisant les pilotes actuellement en circulation ? Qu'advient-il de notre environnement si un MSP de notre chaîne d'approvisionnement se voyait compromis ? Quels acteurs du ransomware ciblent activement notre secteur, et quels « EDR killers » achètent-ils ?

Vous ne pouvez pas prédire quel groupe vous ciblera, quand, ni par quel vecteur. Mais vous pouvez maintenir une carte à jour indiquant où se dirigent les groupes actifs – et si l'une de ces trajectoires pourrait mener jusqu'à votre organisation.