Ransomwares : des attaques en baisse mais beaucoup plus industrialisées

28 mai 2026

Kaspersky dévoile son rapport sur l'État des Ransomwares 2026

Dans son dernier rapport sur l'État des Ransomwares 2026, Kaspersky dresse un bilan des tendances en matière de ransomwares qui ont marqué 2025 et offre un aperçu du paysage des menaces pour 2026. Selon les données du Kaspersky Security Network, en 2025, l'Amérique latine enregistre la plus forte proportion d'organisations touchées par ces attaques (8,13 %), suivie par la région Asie-Pacifique (7,89 %), l'Afrique (7,62 %), le Moyen-Orient (7,27 %), la Communauté des États indépendants (CEI, 5,91 %) et finalement l'Europe (3,82 %). Le rapport met en évidence la recrudescence des attaques d'extorsion « sans chiffrement », l'utilisation de la cryptographie post-quantique par les groupes de ransomwares, et l'usage persistant des canaux Telegram par les cybercriminels pour distribuer des ensembles de données et des identifiants compromis.

Malgré une légère baisse de la part globale d'organisations visées par des ransomwares en 2025 par rapport à 2024, les utilisateurs restent confrontés à un risque important. En effet, les attaquants industrialisent leurs opérations, automatisent les méthodes d'intrusion et se concentrent de plus en plus sur le vol et la fuite de données sensibles plutôt que sur le simple chiffrement des systèmes.

Les cybercriminels continuent d'exploiter les canaux Telegram et les forums du dark web pour distribuer et revendre des jeux de données et des accès compromis, notamment ceux issus d'attaques par ransomware. En janvier 2026, les autorités ont saisi RAMP, un forum clandestin majeur qui servait également de vitrine aux acteurs de la menace pour promouvoir leurs services de ransomware et annoncer leurs mises à jour. Dans la même lignée, le forum LeakBase, utilisé pour la diffusion de données exfiltrées, a été démantelé en mars 2026. Cependant, bien que les forces de l'ordre ferment activement des plateformes du dark web et des sites de divulgation de données, il faut s'attendre à voir émerger de nouveaux portails similaires à l'avenir.

L'une des tendances fortes de 2025 est la montée en puissance continue des “EDR killers” (outils de neutralisation de l'Endpoint Detection and Response), des outils spécifiquement conçus pour désactiver les solutions de sécurité avant d'exécuter le logiciel malveillant lui-même. Les EDR killers sont devenus une composante standard des attaques, ce qui se traduit par des intrusions plus préméditées et méthodiques.

Les chercheurs ont également noté l'émergence de familles de ransomwares adoptant des normes de cryptographie post-quantique, une évolution que Kaspersky avait prédite précédemment. Ce développement signale une transition préoccupante vers des méthodes de chiffrement capables de résister aux futures tentatives de décryptage par l'informatique quantique.

Le rôle des Initial Access Brokers (IAB), des intermédiaires cybercriminels qui vendent des accès d'entreprise pré-compromis via des forums clandestins et des plateformes de messagerie, ne cesse de croître. Les portails RDWeb (des sites web par lesquels les appareils peuvent être contrôlés à distance) sont de plus en plus ciblés, alors que les groupes de ransomwares continuent d'industrialiser leurs opérations par le biais du modèle “Access-as-a-Service”. Par conséquent, la barrière à l'entrée pour lancer des cyberattaques s’abaisse.

Groupes actifs

D'après les sites de fuite de données, parmi les groupes de ransomwares les plus actifs en 2025, Kaspersky a identifié Qilin comme le principal opérateur de Ransomware-as-a-Service (RaaS) suite à la saisie des opérations de RansomHub. Clop s'est classé au deuxième rang des groupes les plus actifs, suivi d'Akira à la troisième place.

Bien que plusieurs grands groupes de ransomwares aient cessé leurs opérations en 2025, l'écosystème voit l'émergence de nouveaux acteurs. Pour 2026, le groupe The Gentlemen se démarque comme l'un des plus importants nouveaux acteurs de ransomware. Cette importance est due à sa croissance rapide, ses opérations structurées et son accent croissant sur l'extorsion de données. Il est possible que ce groupe intègre des attaquants ayant été associés à d'autres opérations majeures de ransomware par le passé. The Gentlemen illustre une tendance plus large dans le secteur des ransomwares : on observe un passage des campagnes chaotiques et très médiatisées à des modèles d'extorsion plus industrialisés et évolutifs. Ces nouvelles structures se concentrent désormais principalement sur le vol de données sensibles. Elles exploitent la pression réglementaire et réputationnelle subie par les victimes, au lieu de s'appuyer uniquement sur le chiffrement bloquant des fichiers pour obtenir une rançon.

« Le ransomware a évolué vers un écosystème très organisé qui se concentre sur la monétisation des données volées, la désactivation des défenses et le déploiement d'attaques à grande échelle avec une efficacité quasi commerciale. Les acteurs s'adaptent rapidement, détournent des outils légitimes, exploitent les infrastructures d'accès à distance et adoptent même la cryptographie post-quantique, des années plus tôt que prévu. Nous exhortons tous les utilisateurs à rester en sécurité, à mettre en place des défenses multicouches, à investir dans les sauvegardes et à améliorer leur niveau de culture cyber pour contrer ces attaques », commente Fabio Assolini, chercheur en sécurité au sein du GReAT de Kaspersky.

Le rapport complet est disponible sur Securelist.

Kaspersky encourage les organisations à suivre les meilleures pratiques pour se prémunir des ransomwares :

Activer la protection contre les ransomwares pour tous les terminaux.
Maintenir à jour les logiciels sur tous les appareils utilisés afin d'empêcher les attaquants d'exploiter les vulnérabilités et d'infiltrer le réseau.
Concentrer la stratégie de défense sur la détection des mouvements latéraux et de l'exfiltration de données vers Internet.
Porter une attention particulière au trafic sortant pour identifier toute connexion potentielle de cybercriminels au réseau.
Configurer des sauvegardes hors ligne, inaccessibles aux intrus, et s’assurer de pouvoir y accéder rapidement en cas de besoin ou d'urgence.
Les entreprises du secteur non industriel peuvent se protéger en installant des solutions anti-APT et EDR qui permettent de découvrir et de détecter les menaces avancées, de mener des enquêtes et de remédier rapidement aux incidents. Les organisations peuvent également fournir à leurs équipes SOC un accès aux dernières informations sur les menaces et perfectionner régulièrement leurs compétences grâce à des formations professionnelles.

À propos du Global Research & Analysis Team

Établi en 2008, le Global Research & Analysis Team (GReAT) opère au cœur même de Kaspersky. Son rôle est de mettre au jour les APT (menaces persistantes avancées), les campagnes de cyberespionnage, les principaux logiciels malveillants, les ransomwares ainsi que les tendances de la cybercriminalité souterraine à travers le monde. Aujourd'hui, le GReAT est composé de plus de 35 experts travaillant à l'échelle internationale en Europe, en Russie, en Amérique latine, en Asie et au Moyen-Orient. Ces professionnels du secteur apportent leur expertise, leur passion et leur curiosité pour découvrir et analyser les cybermenaces, positionnant l'entreprise comme un leader de la recherche et de l'innovation anti-malware.

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. Avec à ce jour plus d'un milliard d'appareils protégés contre les cybermenaces émergentes et les attaques ciblées, l'expertise de Kaspersky en matière de sécurité et de renseignements sur les menaces est constamment convertie en solutions et services innovants pour protéger les particuliers, les entreprises, les infrastructures critiques et les autorités publiques dans le monde entier. Le large portefeuille de solutions de cybersécurité de Kaspersky inclut la protection avancée de la vie numérique pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de Cyber Immunité pour lutter contre les menaces numériques sophistiquées, en constante évolution. Kaspersky aide des millions de particuliers et plus de 200 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus, consultez le sitehttps://www.kaspersky.fr

Ransomwares : des attaques en baisse mais beaucoup plus industrialisées

Groupes actifs

Ransomwares : des attaques en baisse mais beaucoup plus industrialisées

À propos de Kaspersky

Articles connexes Communiqués de presse

Kaspersky : près de la moitié des adultes ont déjà subi des violences numériques, mais la plupart ne s'en rendent pas comptefra

Kaspersky met en garde contre les escrocs qui profitent des voyageurs se rendant à la Coupe du Monde 2026

L’intimité mentale menacée par les progrès de l'IA cognitive : Kaspersky souligne quatre risques émergents

Une expérience de Kaspersky montre que les systèmes de vérification faciale reconnaissent toujours les visages modifiés par l'IA

Kaspersky découvre une nouvelle variante de SparkCat qui contourne les mesures de sécurité de l'App Store et de Google Play

Ceci n’est pas un poisson d’avril : Kaspersky met au jour CrystalX RAT, un cheval de Troie qui dérobe les données et nargue ses victimes !

Kaspersky et AFRIPOL organisent une formation conjointe en cybersécurité à destination des forces de l’ordre africaines

Cybersécurité : Kaspersky identifie le kit d'exploitation Coruna comme une évolution majeure d'Opération Triangulation

Kaspersky découvre des infostealers imitant Claude Code, OpenClaw et autres outils de développement d’IAfra

Kaspersky identifie une nouvelle campagne de malwares Android déguisée en application Starlink