Les ransomwares ne sont plus l'apanage des hackers isolés qui écrivent des codes personnalisés. En 2025, les attaques de ransomwares signalées publiquement ont augmenté de 47 % pour atteindre plus de 7 200 incidents, et les chercheurs ont recensé 124 groupes distincts opérant simultanément. Le multiplicateur de force derrière cette explosion est le ransomware as a service (RaaS), un modèle commercial qui permet à toute personne disposant de cryptomonnaie et ayant des intentions criminelles de lancer des attaques de ransomware à l'échelle de l'entreprise. Cet article explique le fonctionnement du modèle RaaS, qui sont les principaux acteurs, quels groupes dominent le paysage actuel et, surtout, comment les défenseurs peuvent détecter l'activité des affiliés avant que le chiffrement ne commence.
Le ransomware en tant que service (RaaS) est un modèle économique cybercriminel dans lequel les développeurs de ransomware, appelés « opérateurs », créent, maintiennent et louent des plateformes de ransomware à d'autres criminels, appelés « affiliés », qui mènent les attaques proprement dites, partageant les revenus par le biais d'abonnements, de frais uniques ou de répartitions de bénéfices basées sur des pourcentages.
Ce modèle reflète la distribution légitime de logiciels en tant que service (SaaS). Tout comme une entreprise peut s'abonner à une cloud et l'utiliser pour gérer ses activités, les affiliés RaaS s'abonnent à une plateforme de ransomware et l'utilisent pour mener des attaques. L'opérateur gère les malware , l'infrastructure, le traitement des paiements et même le support client. L'affilié se charge de la sélection des cibles, de l'accès initial et du déploiement.
Cette séparation des tâches est ce qui rend le RaaS si dangereux. Les ransomwares traditionnels exigeaient qu'un seul acteur ou groupe possède toutes les compétences nécessaires, du malware à l'exploitation du réseau en passant par la négociation de la rançon. Le RaaS élimine cette exigence, augmentant ainsi de manière exponentielle le nombre d'attaquants potentiels.
L'ampleur du problème est considérable. En 2025, le volume des attaques a augmenté de 47 % au cours de l'année 2024, avec 124 groupes distincts suivis — soit une augmentation de 46 % par rapport à l'année précédente. Les ransomwares représentent désormais 20 % de tous les incidents liés à la cybercriminalité, et le Cadre MITRE ATT&CK de MITRE ATT&CK classe la principale technique d'impact des ransomwares sous T1486 — Données cryptées pour plus d'impact.
Les ransomwares traditionnels impliquent un seul acteur malveillant ou un groupe fermé qui développe et déploie le malware en bout. Le RaaS introduit une division du travail entre trois parties ou plus : les opérateurs, les affiliés et les prestataires de services de soutien. Il en résulte une entreprise criminelle évolutive qui fonctionne davantage comme une franchise que comme une opération individuelle, ce qui réduit considérablement les barrières à l'entrée et augmente le volume des attaques auxquelles les organisations sont confrontées aujourd'hui.
Les plateformes RaaS fonctionnent selon les mêmes règles opérationnelles que les entreprises SaaS légitimes. Il est essentiel pour les défenseurs de comprendre ce modèle, car il révèle où se trouvent les opportunités de détection tout au long du cycle de vie d'une attaque.
La vitesse de ce cycle de vie s'est considérablement accélérée. Selon IBM, le délai moyen entre l'accès initial et le déploiement du ransomware est passé à 3,84 jours en 2025, contre plus de 60 jours en 2019. Cette accélération signifie que les défenseurs disposent d'une fenêtre de détection plus étroite, mais toujours exploitable.
Les opérateurs fournissent aux affiliés des outils complets : des générateurs de charges utiles avec des options de personnalisation, des tableaux de bord de suivi des victimes, un traitement automatisé des paiements et une infrastructure de commande et de contrôle. Certaines plateformes proposent même un « service client » pour aider les affiliés à résoudre les problèmes liés au déploiement et à négocier avec les victimes.
Le recrutement se fait principalement via des forums du dark web. Le forum RAMP a servi de marché principal jusqu'à ce que le FBI le saisisse en janvier 2026, ses plus de 14 000 utilisateurs se dispersant alors vers des canaux Telegram et des réseaux de référence privés. Les conditions d'admission varient entre un dépôt de 0,05 BTC et la preuve d'une activité d'attaque antérieure.
Une fois intégrés, les affiliés opèrent de manière indépendante. Ils ont accès à des générateurs de charges utiles, mènent leurs propres attaques et gèrent les négociations avec les victimes dans certains modèles. Les opérateurs fidélisent les meilleurs affiliés grâce à des charges utiles améliorées, de meilleurs outils et des parts de revenus plus importantes.
Comprendre la tarification du RaaS fournit des informations cruciales sur les menaces aux défenseurs qui évaluent l'ampleur et l'accessibilité de la menace.
Le modèle d'affiliation domine le paysage actuel. Il aligne les incitations (les opérateurs ne gagnent que lorsque les affiliés réussissent) et supprime complètement la barrière financière à l'entrée, ce qui explique pourquoi les ransomwares en tant que service ont permis une augmentation sans précédent du nombre d'attaques.
La chaîne d'approvisionnement RaaS s'étend bien au-delà de la relation entre l'opérateur et ses affiliés. Un écosystème criminel complet soutient ce modèle, avec des services spécialisés à chaque étape.
Un courtier d'accès initial (IAB) est un acteur malveillant spécialisé qui compromet les réseaux d'entreprise et vend cet accès à des affiliés RaaS. Les IAB constituent le maillon de la chaîne d'approvisionnement qui permet aux affiliés moins compétents de contourner la phase la plus exigeante techniquement d'une attaque.
Les IAB facturent généralement entre 500 et 5 000 dollars par accès au réseau, le prix étant fixé en fonction de la taille de l'organisation cible, de son secteur d'activité et du niveau d'accès obtenu. Ils opèrent sur des forums du dark web et des chaînes Telegram, où ils proposent l'accès à des organisations ou des secteurs spécifiques.
Un exemple notable est celui du TA584, que Proofpoint a documenté en 2026, qui utilise malware Tsundere Bot malware vendre l'accès à des réseaux nord-américains, britanniques et européens. L'écosystème qui le soutient comprend également des services tels que Shanya, un packer-as-a-service qui aide les affiliés à échapper à endpoint . L'hébergement bulletproof, le blanchiment de cryptomonnaies et les services de négociation complètent l'écosystème de la cybercriminalité en tant que service.
Cela est important pour les défenseurs, car les manœuvres d'ingénierie sociale et de reconnaissance menées par les IAB peuvent avoir lieu plusieurs semaines, voire plusieurs mois avant le déploiement effectif du ransomware, ce qui offre des opportunités de détection précoce.
Tableau : Comparaison des responsabilités, des parts de revenus et des profils de risque entre les trois principaux rôles de l'écosystème RaaS.
Le paysage RaaS en 2025-2026 est plus fragmenté que jamais, avec 124 groupes suivis et une migration rapide des affiliés entre les plateformes. Il est essentiel de comprendre quels groupes sont actuellement actifs — et quels modèles ils utilisent — pour calibrer les défenses.
Tableau : Groupes actifs proposant des ransomwares en tant que service suivis entre le quatrième trimestre 2025 et le premier trimestre 2026, classés par part de marché.
L'écosystème est en constante évolution. Black Basta début 2025 après que des fuites internes aient révélé ses activités. Son leader, Oleg Nefedov, fait désormais l'objet d'une notice rouge d'Interpol, et ses membres se sont dispersés vers Chaos, INC, Lynx, Cactus et Nokoyawa. RansomHub s'est également effondré, provoquant seulement une brève baisse des attaques avant que ses affiliés ne migrent vers des plateformes concurrentes.
Cette fragmentation crée des risques de violation des données pour les organisations. Les analystes prévoient que 2026 sera la première année où les nouveaux acteurs du ransomware hors de Russie seront plus nombreux que ceux à l'intérieur du pays, reflétant la mondialisation rapide de l'écosystème et l'émergence de groupes anglophones tels que Scattered Spider leurs propres plateformes RaaS.
Les tactiques d'extorsion ont évolué, passant d'un simple cryptage à des campagnes de pression à plusieurs niveaux, même si l'extorsion basée uniquement sur les données perd de son efficacité en 2025-2026.
Le paysage actuel montre un renversement de tendance surprenant. Selon Sophos, seulement 50 % des attaques ont abouti à un chiffrement en 2025, contre 70 % en 2024, car de nombreux groupes se sont orientés vers des stratégies axées uniquement sur l'exfiltration de données. Cependant, les données de Coveware pour le quatrième trimestre 2025 révèlent que cette approche perd de son efficacité. Les taux de paiement pour les exfiltrations de données seules ont chuté à environ 25 %, et les taux de paiement de rançons globaux ont atteint un niveau historiquement bas d'environ 20 % au quatrième trimestre 2025.
Ce déclin suggère un retour potentiel aux attaques axées sur le chiffrement en 2026, comme le démontrent déjà des groupes tels qu'Akira et Qilin. Les défenseurs doivent se préparer à ces deux vecteurs.
Les attaques RaaS ont augmenté de 47 % en 2025, avec 7 200 incidents signalés publiquement, coûtant en moyenne 4,91 millions de dollars par violation aux entreprises.
La situation financière présente une dynamique complexe. Le montant total des rançons versées a diminué de 35 % pour atteindre 813,55 millions de dollars en 2024, alors même que le nombre d'attaques a augmenté, le montant médian des rançons tombant à 1 million de dollars en 2025. Les principaux vecteurs d'attaque ont été les vulnérabilités exploitées (32 %), les identifiants compromis (23 %) et phishing. Le secteur manufacturier a connu une augmentation de 61 % des attaques d'une année sur l'autre, représentant 14 % de toutes les attaques, tandis que le secteur de la santé a subi 445 attaques en 2025.
Scattered Spider ont utilisé le ransomware DragonForce pour perturber les activités commerciales de M&S pendant plusieurs semaines, entraînant une perte de bénéfice d'exploitation estimée à 300 millions de livres sterling.
Leçon: L'ingénierie sociale et l'usurpation d'identité restent efficaces même contre les programmes de sécurité sophistiqués. La segmentation du réseau et la détection rapide des mouvements latéraux sont essentielles pour contenir l'activité des affiliés après l'accès initial.
Les opérateurs de Qilin ont exigé une rançon de 50 millions de dollars après avoir exfiltré 400 Go de données de patients concernant plus de 900 000 personnes. Plus de 800 opérations du NHS ont été annulées, et la violation a été confirmée comme ayant contribué au décès d'un patient.
Leçon: les organismes de santé sont particulièrement exposés en raison de leurs activités vitales. L'évaluation de la sécurité des fournisseurs tiers et la segmentation du réseau ne sont pas facultatives.
Une seule identité VPN compromise, sans authentification multifactorielle activée, a permis aux affiliés de DarkSide de fermer le plus grand pipeline de carburant des États-Unis pendant six jours. Colonial a payé environ 5 millions de dollars de rançon, tandis qu'environ 100 Go de données ont été volés.
Leçon: les mesures élémentaires de sécurité (authentification multifactorielle pour tous les accès à distance, segmentation du réseau, gestion des identifiants) permettent de prévenir la plupart des vecteurs d'accès initiaux du RaaS. Cet incident unique a déclenché une prise de conscience nationale sur la sécurité des infrastructures critiques.
Une coalition internationale composée de 10 pays a saisi l'infrastructure, le code source et les clés de déchiffrement de LockBit. LockBit avait fait plus de 2 000 victimes et extorqué 120 millions de dollars ou plus. Au second semestre 2024, les paiements ont chuté de 79 %.
Leçon: les interventions des forces de l'ordre perturbent considérablement les opérations individuelles, mais contribuent à la fragmentation de l'écosystème. Les affiliés migrent vers d'autres plateformes : il est donc nécessaire de mettre en place des stratégies de réponse aux incidents continues et adaptatives plutôt que de compter sur un seul événement perturbateur.
Une fenêtre de détection de 4 à 5 jours entre l'accès initial et le chiffrement permet la détection comportementale de l'activité des affiliés RaaS au niveau des couches réseau et identité.
Avec un temps de séjour médian de quatre à cinq jours et un délai moyen de 17 heures entre le mouvement latéral et le chiffrement, les défenseurs ont une réelle opportunité d'arrêter les attaques RaaS avant que la charge utile ne soit déployée. La clé réside dans le passage de stratégies exclusivement préventives à des stratégies de détection basées sur l'hypothèse d'une compromission.
Les principes fondamentaux de prévention restent essentiels :
Mais la prévention seule ne suffit pas. Le guide #StopRansomware de la CISA et le cadre NIST sur les ransomwares recommandent tous deux de mettre en place des défenses multicouches pour toutes les fonctions de sécurité.
Tableau : Cartographie MITRE ATT&CK pour les tactiques, techniques et procédures courantes des affiliés RaaS, avec les approches de détection recommandées.
Avec un temps de séjour médian de quatre à cinq jours, chaque heure entre l'accès initial et le chiffrement représente une opportunité. détection et réponse aux incidents identifie les modèles de balisage C2, les mouvements latéraux sur SMB et RDP, ainsi que les opérations de mise en place des données avant le début du chiffrement.
La détection et la réponse aux menaces d'identité permettent de détecter les schémas d'utilisation abusive des identifiants que les outils basés sur les signatures ne parviennent pas à repérer, tels que Kerberoasting , les attaques de type « pass-the-hash », les attaques « golden ticket » et les opérations DCSync.
La détection comportementale des menaces est particulièrement importante lorsque endpoint sont contournés. Des groupes tels que Reynolds exploitent les techniques BYOVD (bring-your-own-vulnerable-driver) et des services tels que Shanya's packer-as-a-service ciblent spécifiquement le contournement des EDR. Les équipes de recherche de menaces qui se concentrent sur les anomalies du réseau et des identités détectent ce que les stratégies endpoint ne parviennent pas à détecter.
Le modèle RaaS exige une défense en profondeur tout au long de la chaîne d'attaque, et pas seulement au niveau des endpoint. Le secteur passe de stratégies axées uniquement sur la prévention à des stratégies de détection des compromissions qui exploitent la fenêtre de pré-chiffrement.
Les approches modernes efficaces combinent détection et réponse aux incidents l'analyse comportementale des identités, des capacités de réponse automatisées et l'automatisation des SOC afin de contenir les attaques pendant la fenêtre de détection. La détection des menaces basée sur l'IA suit le rythme des opérations RaaS accélérées par l'IA qui réduisent la durée des attaques de plusieurs mois à quelques jours.
La philosophie « assume-compromise » (présumer du compromis) Vectra AI s'aligne directement sur la fenêtre de détection RaaS. Plutôt que de se concentrer uniquement sur la prévention de l'accès initial, Attack Signal Intelligence sur la détection des comportements des attaquants (balises C2, mouvements latéraux, élévation des privilèges et mise en place des données) dans les environnements réseau, identité, cloud et SaaS. Cette observabilité unifiée fournit la clarté des signaux dont les équipes de sécurité ont besoin pour arrêter les affiliés RaaS avant que le chiffrement ne commence.
Le ransomware en tant que service a transformé le paysage des menaces, passant d'acteurs individuels à une industrie criminelle évolutive avec des rôles spécialisés, une économie concurrentielle et une innovation rapide. Le paysage 2025-2026, avec 124 groupes actifs, des taux de paiement en chute libre et l'émergence de modèles de cartels, annonce un écosystème en transition, mais pas en déclin.
Pour les défenseurs, la réalité opérationnelle est claire. Les affiliés RaaS suivent des schémas comportementaux prévisibles : ils accèdent au système, se déplacent latéralement, augmentent leurs privilèges, préparent les données et déploient leurs charges utiles. Le délai de détection de quatre à cinq jours entre l'accès initial et le chiffrement n'est pas une vulnérabilité. C'est une opportunité.
Les organisations qui passent de stratégies axées uniquement sur la prévention à la détection des compromissions — en combinant l'analyse comportementale du réseau, la détection des menaces d'identité et la réponse automatisée — se positionnent de manière à détecter les activités des affiliés avant que le chiffrement ne commence. Les attaquants se sont industrialisés. La défense doit évoluer en conséquence.
Le ransomware en tant que service est un modèle commercial de cybercriminalité dans lequel les développeurs (opérateurs) de ransomware créent et gèrent des plateformes de ransomware que d'autres criminels (affiliés) peuvent utiliser pour lancer des attaques. Ce modèle reflète celui des entreprises SaaS légitimes, les affiliés payant par le biais d'abonnements, de frais uniques ou d'accords de partage des revenus. Les opérateurs s'occupent malware , de l'infrastructure, du traitement des paiements et du support. Les affiliés s'occupent de la sélection des cibles, de l'accès initial et du déploiement. Cette division du travail explique pourquoi 124 groupes distincts ont été recensés en 2025 : les barrières à l'entrée n'ont jamais été aussi faibles.
Le prix du RaaS varie considérablement en fonction du modèle et de la qualité de la plateforme. Les abonnements mensuels commencent à environ 40 dollars pour un accès de base. Les licences uniques vont de 500 à 84 000 dollars pour les kits haut de gamme dotés de capacités d'évasion avancées. Les programmes d'affiliation ne nécessitent aucun coût initial, mais prélèvent 20 à 40 % des rançons versées. Certains programmes exigent un dépôt (par exemple 0,05 BTC) pour adhérer. Comprendre ces niveaux de prix aide les responsables de la sécurité à expliquer aux parties prenantes de l'entreprise pourquoi les attaques basées sur le RaaS sont si répandues : la barrière financière pour lancer une attaque est minime par rapport au rendement potentiel.
Non. La création, la distribution ou l'utilisation de ransomware est illégale dans pratiquement toutes les juridictions. Les opérateurs RaaS et leurs affiliés s'exposent à de lourdes sanctions pénales, notamment de longues peines d'emprisonnement. En décembre 2025, deux professionnels américains de la cybersécurité ont plaidé coupables d'avoir déployé le ransomware ALPHV/BlackCat, démontrant ainsi que les forces de l'ordre poursuivent activement tous les participants à la chaîne d'approvisionnement RaaS. Des opérations internationales telles que l'opération Cronos contre LockBit témoignent d'une coopération transfrontalière croissante en matière d'application de la loi.
Les ransomwares traditionnels impliquent un seul acteur ou groupe qui développe et déploie le malware en bout. Le RaaS sépare ces rôles : les opérateurs construisent et maintiennent la plateforme, tandis que les affiliés, qui peuvent avoir des compétences techniques limitées, mènent les attaques proprement dites. Cette division du travail augmente considérablement le nombre d'attaquants potentiels. Alors que les campagnes de ransomware traditionnelles peuvent impliquer une poignée d'opérateurs qualifiés, une seule plateforme RaaS peut permettre à des centaines d'affiliés de mener simultanément des campagnes indépendantes.
Un courtier d'accès initial (IAB) est un acteur malveillant spécialisé qui compromet les réseaux d'entreprise et vend cet accès à des affiliés RaaS. Les IAB facturent généralement entre 500 et 5 000 dollars par accès au réseau et opèrent sur des forums du dark web et des canaux Telegram. Ils constituent le maillon de la chaîne d'approvisionnement qui permet aux affiliés moins qualifiés de contourner entièrement la phase initiale de compromission. Le forum RAMP était le principal marché des IAB jusqu'à sa saisie par le FBI en janvier 2026, après quoi l'activité s'est dispersée vers des canaux privés et des plateformes de messagerie cryptée.
Le RaaS a abaissé la barrière à l'entrée pour les cybercriminels en éliminant le besoin d'expertise technique dans malware . Les affiliés reçoivent des outils, une infrastructure et une assistance prêts à l'emploi, ce qui permet à des opérateurs de différents niveaux de compétence de mener des attaques sophistiquées. Les avantages économiques sont indéniables : les programmes d'affiliation ne nécessitent aucun investissement initial et offrent des parts de revenus de 60 à 80 %. Combiné à la vente d'accès réseau prêts à l'emploi par les IAB, l'ensemble de la chaîne d'attaque peut être assemblé sans compétences techniques approfondies. Cela a contribué à une augmentation de 47 % des attaques par ransomware signalées publiquement en 2025.
La défense nécessite une approche multicouche sur l'ensemble de la chaîne d'attaque. Mettez en place une authentification multifactorielle (MFA) pour tous les accès à distance et les comptes privilégiés. Effectuez régulièrement des sauvegardes hors ligne et cryptées. Déployez une segmentation du réseau pour limiter les mouvements latéraux. Corrigez rapidement les vulnérabilités connues : les vulnérabilités exploitées représentent 32 % des causes profondes des ransomwares. Utilisez des outils de détection comportementale (NDR et ITDR) pour identifier l'activité des affiliés pendant la période de quatre à cinq jours entre l'accès initial et le chiffrement. Signalez les incidents aux forces de l'ordre, ce qui permet d'économiser environ 1 million de dollars par incident. Suivez le guide #StopRansomware de la CISA pour obtenir des conseils complets.