Retour aux actualités
    Menaces12 min de lecture

    Ransomware-as-a-Service (RaaS) en 2026 : LockBit, BlackCat et stratégies de défense

    Fonctionnement des groupes RaaS (affiliation, double extorsion), principaux groupes actifs, vecteurs d'infection, plan de protection en 15 mesures et réponse à incident.

    Le ransomware est devenu une industrie criminelle organisée. Le modèle Ransomware-as-a-Service (RaaS) permet à des groupes sans compétences techniques de louer une infrastructure d'attaque clé en main. En 2025, les revenus mondiaux des groupes de ransomware dépassent 1 milliard de dollars selon Chainalysis. Les PME françaises paient en moyenne 150 000 à 500 000 € de rançon quand elles cèdent — sans garantie de récupérer leurs données.

    1. Comment fonctionne le modèle RaaS

    Le RaaS fonctionne comme un franchise criminelle avec une division du travail précise :

    • Développeurs de ransomware : créent et maintiennent le malware, la plateforme de paiement, le support aux victimes. Ils touchent 20 à 30 % des rançons.
    • Affiliés : réalisent les intrusions, déploient le ransomware, négocient avec la victime. Ils touchent 70 à 80 % des rançons.
    • Initial Access Brokers (IAB) : vendent des accès compromis (VPN, RDP, comptes Active Directory) sur des marchés darknet. Prix : 200 à 50 000 $ selon la taille de l'entreprise.
    • Équipes de négociation : certains groupes emploient des négociateurs professionnels disponibles 24/7.

    2. La double et triple extorsion

    Le ransomware classique chiffre les données et demande une rançon pour déchiffrer. En 2020, les groupes ont introduit la double extorsion :

    • Double extorsion : exfiltration des données AVANT chiffrement + menace de publication publique sur un leak site. 77 % des attaques en 2025 (Coveware).
    • Triple extorsion : en plus, attaque DDoS contre la victime ou notification directe des clients, partenaires, régulateurs pour maximiser la pression.
    • Quadruple extorsion : contact direct des actionnaires, journalistes ou autorités de régulation.

    Conséquence : les sauvegardes seules ne protègent plus. Même sans payer la rançon de déchiffrement, la victime peut être contrainte de payer pour éviter la publication de données personnelles de ses clients (risque RGPD de 4 % du CA mondial).

    3. Les principaux groupes RaaS actifs en 2025-2026

    • LockBit 4.0 : groupe le plus prolifique malgré l'opération Cronos (démantèlement partiel par Europol en 2024). Cible préférentielle : industrie, santé, collectivités.
    • BlackCat/ALPHV : développé en Rust pour la performance et l'évasion, plateforme de négociation sophistiquée. Opération FBI en 2024, rebaptisé RansomHub depuis.
    • Cl0p : spécialisé dans l'exploitation de vulnérabilités zero-day (MOVEit, GoAnywhere, Cleo). Attaque simultanément des centaines d'entreprises.
    • Play : cible les PME européennes, temps de séjour moyen de 3 jours avant déploiement.
    • Akira : apparu en 2023, en forte croissance, cible les ESN et leurs clients en cascade.

    4. Vecteurs d'attaque les plus fréquents

    Selon Verizon DBIR 2025, les vecteurs d'entrée initiaux des ransomwares :

    • Phishing / spear phishing (40 %) : pièces jointes malveillantes, liens vers des faux formulaires de connexion, QR codes malveillants.
    • Exploitation de vulnérabilités (24 %) : CVE dans VPN, Fortinet, Citrix, Exchange, outils de transfert de fichiers.
    • Achat d'accès IAB (20 %) : identifiants RDP ou VPN compromis achetés sur des marchés darknet.
    • Credential stuffing (10 %) : réutilisation de mots de passe issus de fuites de données.
    • Supply chain (6 %) : compromission d'un fournisseur ou d'un outil logiciel utilisé par la cible.

    5. Plan de protection en 15 mesures

    Prévention

    • MFA résistant au phishing (FIDO2/passkeys) sur tous les accès distants et comptes admin.
    • Décommissionner les accès RDP exposés sur Internet ; utiliser un VPN ou un bastion SSH.
    • Patch management sous 72h pour les CVE critiques et celles du catalogue KEV CISA.
    • Filtrage DNS (Cisco Umbrella, Cloudflare Gateway) pour bloquer les domaines C2.
    • Segmentation réseau : isoler les sauvegardes, la production, l'administration.
    • EDR nouvelle génération (CrowdStrike Falcon, SentinelOne) sur tous les endpoints.
    • Formation anti-phishing et simulation mensuelle (GoPhish, KnowBe4).

    Détection

    • SOC managé ou SIEM avec règles de détection spécifiques ransomware (Sigma rules).
    • Surveillance des tentatives d'exfiltration de données (DLP, CASB).
    • Alertes sur l'utilisation anormale de VSS (Volume Shadow Copy) ou de tools de chiffrement.

    Réponse et résilience

    • Sauvegardes hors-ligne (air gap) ou immuables (Object Lock S3/Azure Blob) testées mensuellement.
    • Plan de réponse à incident (PRI) documenté avec les contacts d'urgence (ANSSI, assureur cyber, cabinet juridique).
    • Exercice de simulation de crise ransomware au moins une fois par an.
    • Assurance cyber couvrant le ransomware (perte d'exploitation, frais IR, rançon).
    • Déclaration ANSSI/CNIL obligatoire en cas d'incident significatif — ne pas attendre la résolution.

    6. Faut-il payer la rançon ?

    La position officielle de l'ANSSI, du FBI et d'Europol est de ne pas payer. Raisons : payer finance les groupes criminels, ne garantit pas la récupération des données (30 % des victimes ne récupèrent rien, Coveware 2025), et vous place sur une liste de "payeurs" qui attireront de futures attaques.

    Si vous envisagez de payer : consultez votre assureur et un cabinet juridique spécialiséavant toute décision. Certains groupes sont sanctionnés (OFAC) et payer peut exposer l'entreprise à des amendes américaines, même depuis la France.

    Conclusion

    Le RaaS a démocratisé les attaques ransomware et les a rendues accessibles à des groupes sans compétences techniques avancées. Face à cette menace, seule unedéfense en profondeur combinant prévention technique, formation humaine et résilience opérationnelle (PRI + sauvegardes immuables) permet de maintenir un niveau de risque acceptable.

    Besoin d'un accompagnement en cybersécurité ?

    CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.

    Contactez-nous