Cette année a marqué un tournant dans l’écosystème cybercriminel. Alors que des acteurs établis comme LockBit et Clop ont poursuivi leurs campagnes, la véritable histoire de 2025 est l’apparition de nouveaux groupes de ransomware qui ont rapidement fait parler d’eux. Ces acteurs ont introduit des tactiques inédites, exploité des schémas de chiffrement avancés et adopté des stratégies d’extorsion multiples, confirmant que le ransomware reste l’une des menaces les plus perturbatrices en cybersécurité.

L’essor de nouveaux acteurs

D’après les données de ransomware.live, des dizaines de nouveaux groupes ont émergé en 2025, dont beaucoup ont lancé des campagnes agressives en quelques semaines seulement. Contrairement aux années précédentes, ces groupes ont montré un haut degré de spécialisation — ciblant des infrastructures critiques, des établissements de santé et des services financiers avec une précision redoutable.
Notre analyse s’est concentrée sur les groupes dont la date officielle de création est postérieure au 1er janvier 2025, selon le champ date du jeu de données ransomware.live. Nous avons ensuite corrélé ces informations avec les divulgations de victimes issues de la même source pour mesurer leur impact.

Top 10 des nouveaux groupes par nombre de victimes

Voici les nouveaux acteurs les plus actifs en 2025 :
1. Sinobi — 187 victimes
2. Babuk2 — 169 victimes
3. Devman — 155 victimes
4. Worldleaks — 112 victimes
5. Lockbit5 — 108 victimes
6. Nightspire — 102 victimes
7. Nova — 82 victimes
8. Thegentlemen — 80 victimes
9. Warlock — 78 victimes
10. Coinbasecartel — 59 victimes

Ces chiffres montrent à quel point ces nouveaux acteurs peuvent rapidement étendre leurs opérations. Des groupes comme Sinobi et Babuk2 sont apparus tard dans l’année, mais ont tout de même réussi à compromettre des centaines d’organisations à travers le monde.

Qu’est-ce qui les distingue ?
* Déploiement rapide : Campagnes lancées quelques jours après leur détection.
* Techniques innovantes : Extorsion double ou triple, enchères de données, obfuscation avancée.
* Diversité des cibles : PME comme grandes entreprises, aucun secteur n’est épargné.

Perspectives
L’émergence de ces groupes souligne une réalité : le ransomware n’est pas près de disparaître. Au contraire, il devient plus fragmenté et plus difficile à suivre. Les organisations doivent adopter des stratégies de défense proactives, notamment :
* Surveillance continue des indicateurs de compromission.
* Sauvegardes régulières et plans de reprise testés.
* Sensibilisation des employés et formation anti-phishing.

Source: Ransomware.live