Des chercheurs en cybersécurité ont révélé que l’infrastructure en ligne de RansomHub était « inexplicablement » hors ligne depuis le 1er avril 2025, suscitant des inquiétudes parmi les affiliés de l’opération de ransomware-as-a-service (RaaS).

La société de cybersécurité singapourienne Group-IB a déclaré que cela pourrait avoir incité ses filiales à migrer vers Qilin, étant donné que « les divulgations sur son DLS [site de fuite de données] ont doublé depuis février ».

Apparu en février 2024, RansomHub aurait volé les données de plus de 200 victimes. Il a remplacé deux groupes RaaS très en vue, LockBit et BlackCat, pour devenir un leader, courtisant leurs affiliés, dont Scattered Spider et Evil Corp , grâce à des paiements partagés lucratifs.

« Suite à une possible acquisition de l’application Web et du code source du ransomware de Knight (anciennement Cyclops), RansomHub s’est rapidement imposé sur la scène des ransomwares, grâce aux fonctionnalités dynamiques de son crypteur multiplateforme et à un modèle agressif et favorable aux affiliés offrant des incitations financières substantielles », a déclaré Group-IB dans un rapport.

Le ransomware de RansomHub est conçu pour fonctionner sur Windows, Linux, FreeBSD et ESXi, ainsi que sur les architectures x86, x64 et ARM, tout en évitant d’attaquer les entreprises situées dans la Communauté des États indépendants (CEI), à Cuba, en Corée du Nord et en Chine. Il peut également chiffrer les systèmes de fichiers locaux et distants via SMB et SFTP.

Le panneau d’affiliation, qui est utilisé pour configurer le ransomware via une interface Web, dispose d’une section dédiée « Membres » où les membres du groupe d’affiliation ont la possibilité de créer leurs propres comptes sur l’appareil.

Les affiliés disposent également d’un module « Killer » depuis juin 2024 au moins, permettant de neutraliser et de contourner les logiciels de sécurité utilisant des pilotes vulnérables connus ( BYOVD ). Cependant, cet outil a depuis été abandonné en raison de taux de détection élevés.

Selon eSentire et Trend Micro , des cyberattaques ont également été observées exploitant un malware JavaScript connu sous le nom de SocGholish (alias FakeUpdates) via des sites WordPress compromis pour déployer une porte dérobée basée sur Python connectée aux affiliés de RansomHub.

« Le 25 novembre, les opérateurs du groupe ont publié une nouvelle note sur leur panneau d’affiliation, annonçant que toute attaque contre une institution gouvernementale est strictement interdite », a déclaré l’entreprise. « Tous les affiliés ont donc été invités à s’abstenir de tels actes en raison du risque élevé et du manque de rentabilité. »

GuidePoint Security, qui a également observé l’indisponibilité de l’infrastructure de RansomHub, a déclaré que la chaîne d’événements a conduit à une « agitation entre affiliés », le groupe rival RaaS DragonForce affirmant sur le forum RAMP que RansomHub « a décidé de migrer vers notre infrastructure » dans le cadre d’un nouveau « DragonForce Ransomware Cartel ».

Il convient de noter qu’un autre acteur RaaS appelé BlackLock aurait également commencé à collaborer avec DragonForce après que ce dernier a défiguré son site de fuite de données fin mars 2025.

« Ces discussions sur les forums RAMP mettent en évidence l’environnement incertain dans lequel les affiliés de RansomHub semblent se trouver en ce moment, apparemment inconscients du statut du groupe et de leur propre statut au milieu d’une potentielle « prise de contrôle », a déclaré GuidePoint Security .

« Il reste à voir si cette instabilité marquera le début de la fin pour RansomHub, même si nous ne pouvons nous empêcher de noter que le groupe qui s’est fait connaître en promettant stabilité et sécurité à ses affiliés a peut-être maintenant échoué ou trahi ses affiliés sur les deux points. »

Secureworks Counter Threat Unit (CTU), qui a également suivi le changement de marque de DragonForce en tant que « cartel », a déclaré que cet effort fait partie d’un nouveau modèle commercial conçu pour attirer les affiliés et augmenter les profits en permettant aux affiliés de créer leurs propres « marques ».

Cela diffère d’un système RaaS traditionnel dans lequel les développeurs principaux mettent en place l’infrastructure du dark web et recrutent des affiliés de la cybercriminalité clandestine, qui mènent ensuite les attaques après avoir obtenu l’accès aux réseaux cibles auprès d’un courtier d’accès initial (IAB) en échange de 70 % du paiement de la rançon.

« Dans ce modèle, DragonForce fournit son infrastructure et ses outils, mais n’exige pas de ses filiales qu’elles déploient son rançongiciel », a déclaré l’entreprise, propriété de Sophos . « Les fonctionnalités annoncées incluent des panneaux d’administration et client, des outils de chiffrement et de négociation de rançon, un système de stockage de fichiers, un site de fuite basé sur TOR et un domaine .onion, ainsi que des services d’assistance. »

Un autre groupe de rançongiciels qui adopte de nouvelles tactiques est Anubis, qui a vu le jour en février 2025 et utilise une option d’extorsion de données uniquement pour exercer une pression sur les victimes en menaçant de publier un « article d’enquête » contenant une analyse des données volées et d’informer les autorités réglementaires ou de conformité de l’incident.

« Alors que l’écosystème des rançongiciels continue de s’adapter, nous assistons à une expérimentation plus large de différents modèles opérationnels », a déclaré Rafe Pilling, directeur du renseignement sur les menaces chez Secureworks CTU. « LockBit maîtrisait parfaitement le système d’affiliation, mais après les mesures d’application de la loi prises à son encontre, il n’est pas surprenant de voir de nouveaux schémas et méthodes testés. »

Ce développement coïncide avec l’émergence d’une nouvelle famille de ransomwares appelée ELENOR-corp, une variante du ransomware Mimic , qui cible activement les organisations de soins de santé après avoir récolté des informations d’identification à l’aide d’un exécutable Python capable de voler le contenu du presse-papiers.

« La variante ELENOR-corp du ransomware Mimic présente des améliorations par rapport aux versions précédentes, en utilisant des mesures anti-forensiques sophistiquées, des stratégies de falsification de processus et de cryptage », a déclaré Michael Gorelik, chercheur chez Morphisec .

« Cette analyse met en évidence la sophistication croissante des attaques de ransomware, soulignant la nécessité de défenses proactives, d’une réponse rapide aux incidents et de stratégies de récupération robustes dans les secteurs à haut risque comme la santé. »

Certaines des autres campagnes de ransomware notables observées au cours des derniers mois sont les suivantes :

• CrazyHunter , qui a ciblé les secteurs de la santé, de l’éducation et de l’industrie taïwanais et utilise des techniques BYOVD pour contourner les mesures de sécurité via un outil open source nommé ZammoCide
• Elysium , une nouvelle variante de la famille de ransomwares Ghost (alias Cring ) qui met fin à une liste de services codée en dur, désactive les sauvegardes système, supprime les copies fantômes et modifie la politique d’état de démarrage pour rendre la récupération du système plus difficile
• FOG , qui a abusé du nom du Département de l’efficacité gouvernementale des États-Unis (DOGE), et des individus liés à l’initiative gouvernementale dans des attaques par courrier électronique et par phishing pour distribuer des fichiers ZIP contenant des logiciels malveillants qui transmettent le ransomware
• Hellcat , qui a exploité des vulnérabilités zero-day, telles que celles d’Atlassian Jira, pour obtenir un accès initial
• Hunters International , qui a changé de nom et lancé une opération d’extorsion uniquement connue sous le nom de World Leaks en utilisant un programme d’exfiltration de données sur mesure
• Interlock , qui a exploité la tristement célèbre stratégie ClickFix pour lancer une chaîne d’attaque en plusieurs étapes qui déploie la charge utile du ransomware, ainsi qu’une porte dérobée appelée Interlock RAT et des voleurs tels que Lumma et BerserkStealer
• Qilin , qui a utilisé un e-mail de phishing se faisant passer pour des alertes d’authentification ScreenConnect pour violer un fournisseur de services gérés (MSP) à l’aide d’un kit de phishing AitM et lancer des attaques de ransomware sur ses clients (attribuées à une filiale nommée STAC4365)

Ces campagnes servent à mettre en évidence la nature en constante évolution des ransomwares et à démontrer la capacité des acteurs de la menace à innover face aux perturbations et aux fuites des forces de l’ordre.

En effet, une nouvelle analyse des 200 000 messages de discussion internes de Black Basta par le Forum of Incident Response and Security Teams (FIRST) a révélé comment le groupe de ransomware mène ses opérations, en se concentrant sur des techniques avancées d’ingénierie sociale et en exploitant les vulnérabilités VPN.

« Un membre, appelé “Nur”, est chargé d’identifier les cibles clés au sein des organisations qu’il souhaite attaquer », a déclaré FIRST . « Une fois qu’il a localisé une personne influente (comme un responsable ou un membre du personnel RH), il prend contact par téléphone. »