Moins d’argent, plus de ruse : les ransomwares vacillent, mais ne lâchent pas l'affaire. Entre chantage psychologique et attaques chirurgicales, les hackers réinventent leur business pour survivre.
Le ransomware a longtemps été une machine à cash bien huilée. En 2023, les cybercriminels avaient même atteint un record absolu, encaissant plus d’un milliard de dollars. Mais en 2024, la mécanique s’est enrayée. Selon Chainalysis, les paiements ont chuté de 35 %, tombant à un peu plus de 800 millions de dollars. Une baisse marquée qui ne doit rien au hasard : les forces de l’ordre intensifient la répression, les entreprises sont mieux préparées et les victimes cèdent de moins en moins au chantage. Résultat, l’écosystème du ransomware vacille et se transforme. Moins lucratif, mais toujours aussi actif, il cherche de nouvelles stratégies pour survivre.
Une industrie en crise, mais toujours active
De 1,25 milliard à 813,55 millions de dollars « seulement » : les chiffres de 2024 marquent un tournant. Pourtant, rien ne laissait présager un tel revirement. Sur les six premiers mois, les paiements de rançon affichaient encore une légère hausse de 2,38 % par rapport à 2023, laissant penser que l’année allait battre un nouveau record. Mais en juillet, la dynamique s’est brutalement inversée. En seulement quelques mois, les paiements ont chuté de 34,9 %, marquant la première baisse annuelle des revenus du ransomware depuis 2022.
Pourtant, les ransomwares n’ont pas disparu, bien au contraire. Les attaques restent nombreuses, et les sites de fuite de données n’ont jamais recensé autant de victimes qu’en 2024. Mais la donne a changé : moins d’une cible sur deux accepte désormais de payer. Une rupture qui ne traduit donc pas forcément un recul de l’activité criminelle, mais plutôt un changement dans le rapport de force entre cybercriminels et entreprises.
Car si les hackers encaissent moins aujourd’hui, c’est avant tout parce que leurs cibles ont changé de stratégie. Les entreprises sont mieux préparées et savent désormais comment réagir. Sauvegardes régulières, plans de réponse aux incidents, simulations d’attaques : autant de mesures qui leur permettent de ne plus céder sous la pression.
Les cyber-assurances ont aussi durci leurs exigences. Certaines limitent désormais la couverture des rançons, tandis que d’autres refusent tout bonnement de les indemniser. Conséquence directe : les négociations sont devenues plus dures. Au second semestre 2024, l’écart entre les rançons exigées et les paiements finaux a atteint 53 %, preuve que les victimes hésitent davantage, discutent plus longtemps et, dans bien des cas, refusent de payer. In fine, les montants versés se situent généralement entre 150 000 et 250 000 dollars, malgré la persistance d’une poignée d’attaques encore lucratives. L’ère des rançons spectaculaires n’a pas complètement disparu, mais elles se font plus rares et ne concernent plus que quelques attaques très ciblées.
Dans le même temps, les forces de l’ordre ont intensifié leurs opérations de répression. En février, LockBit a ainsi été sévèrement perturbé par une action conjointe du FBI et du NCA britannique, entraînant une chute de 79 % de ses revenus au deuxième trimestre 2024. À peu près au même moment, c’est BlackCat/ALPHV qui orchestrait un exit scam, disparaissant avec plusieurs millions de dollars et laissant ses affiliés en plan.
Conjointement à la chute de LockBit et la disparition de BlackCat, l’écosystème du ransomware s’est fragmenté. Autrefois dominé par quelques mastodontes, le marché est désormais éclaté en une multitude de groupes plus petits et moins structurés. Car contrairement aux années précédentes, aucun acteur majeur n’a émergé pour combler le vide laissé par ces deux géants. De nouvelles organisations comme RansomHub ont bien récupéré une partie des affiliés, mais sans parvenir à recréer de structure aussi puissante.
Muter pour survivre : nouvelles stratégies, nouvelles cibles
Si le modèle économique classique du ransomware semble vaciller, les cybercriminels n’ont pas dit leur dernier mot. Face à la baisse des paiements, les stratégies évoluent, les cibles changent et les méthodes de blanchiment se renouvellent.
D’abord, le chiffrement de données perd du terrain au profit de l’extorsion pure. Plutôt que de bloquer l’accès aux fichiers, de plus en plus de groupes menacent directement de publier les données volées. Un levier psychologique puissant, en particulier pour les grandes entreprises soumises à des régulations strictes sur la confidentialité des informations. Certains groupes n’hésitent pas non plus à recycler d’anciennes attaques ou à prétendre avoir compromis de nouvelles cibles pour maintenir leur crédibilité et inciter au paiement.
Le profil des cibles change également. Plutôt que de s’attaquer à de grandes multinationales, capables de mobiliser des équipes de cybersécurité et de gérer une crise sans payer, les attaquants préfèrent désormais s’en prendre aux PME, jugées plus vulnérables et plus enclines à négocier. Dans le même temps, les méthodes d’intrusion se spécialisent. Certains groupes misent désormais sur l’exploitation de failles précises, notamment dans les VPN d’entreprise ou les outils d’accès à distance, plutôt que sur des campagnes de phishing de masse.
Les techniques de blanchiment évoluent elles aussi. Les mixeurs de crypto (Tornado Cash, ChipMixer, Sinbad, etc.) ont longtemps permis d’anonymiser les transactions en brouillant l’origine des fonds. Mais avec les sanctions et démantèlements successifs, cette option est devenue plus risquée. À la place, les attaquants privilégient de plus en plus les cross-chain brigdes, protocoles qui permettent de transférer des fonds entre différentes blockchains et d’en compliquer la traçabilité.
À noter enfin que les cybercriminels conservent désormais plus longtemps leurs fonds dans leurs wallets, au lieu de les convertir immédiatement. Moins un signe d’hésitation qu’une stratégie de prudence, alors que la surveillance des transactions illicites se renforce et que la pression des forces de l’ordre s’intensifie.
Une menace affaiblie, mais toujours en mouvement
En bref, les ransomwares ont perdu de leur superbe, mais ils sont loin d’être morts. La répression des forces de l’ordre, la résilience accrue des entreprises et la baisse des paiements ont mis à mal un modèle qui semblait jusqu’ici intouchable.
Mais les cybercriminels ne comptent pas se laisser faire. Ils évoluent, expérimentent de nouvelles tactiques et ciblent différemment. Moins de gros acteurs dominants, plus de groupes opportunistes et spécialisés, des méthodes de pression affinées, et un blanchiment toujours plus rusé : l’écosystème des ransomwares se transforme, mais il ne disparaît pas.
Si 2024 marque un tournant dans la lutte contre les ransomwares, la menace reste bien réelle. Plus fragmentée, plus ciblée et toujours aussi inventive, elle continuera d’évoluer tant qu’il restera des failles à exploiter et des victimes prêtes à payer.
Source : Chainalysis
06 février 2025 à 09h45
