Logiciels malveillants 2025 : les groupes les plus dangereux de l'année

L'arsenal des cybercriminels est vaste : l'ingénierie sociale, les fakes profonds et les outils de chat basés sur l'IA ont transformé les communications quotidiennes en vecteurs d'attaque. Il suffit souvent de mots de passe volés ou d'appels interceptés pour permettre l'accès aux systèmes internes.

Manipuler les identités avec l'IA

Grâce à l'intelligence artificielle, qui permet le phishing, le clonage de la voix et les faux entretiens d'embauche, la cybercriminalité est devenue un instrument de manipulation de l'identité. Les pirates utilisent des données d'accès apparemment légitimes et contournent ainsi les mécanismes de sécurité classiques. Certes, les ransomwares n'atteignent plus en permanence de nouveaux records, mais le marché s'est stabilisé à un niveau élevé. L'économie du chantage mise aujourd'hui moins sur le cryptage par force brute que sur les données volées et la pression stratégique.

Les six groupes de délinquants les plus dangereux

Selon le rapport annuel Rapport Nastiest Malware d'OpenText six groupes ont marqué l'année 2025 de manière déterminante.

1. Qilin (également connu sous le nom d'Agenda) est à l'origine de plus de 200 attaques confirmées contre des hôpitaux, des laboratoires et des services municipaux. Dans un cas, il a été prouvé que la défaillance des services de diagnostic a entraîné la mort d'un patient. Une fonction du panneau de contrôle du ransomware qui permettait aux partenaires de discuter directement avec un conseiller en négociation mis à disposition par Qilin a attiré l'attention. L'objectif était de standardiser les extorsions et d'offrir un soutien professionnel même aux auteurs inexpérimentés. Cette forme de professionnalisation établit une nouvelle référence en matière de ransomware-as-a-service et montre à quel point l'infrastructure criminelle a évolué dans l'underground numérique.
2. Akira s'est concentré sur les entreprises solvables et les fournisseurs de services gérés et a été responsable de près d'un incident de ransomware documenté sur cinq dans le monde. Le groupe agit avec une précision technique et des procédures claires, y compris des structures de soutien et des négociations contrôlées. Des actions de rabais et des règles fixes doivent signaler la fiabilité - une démarche qui rappelle davantage les processus d'entreprise que la cybercriminalité. Akira utilise de manière ciblée les vulnérabilités VPN, agit au niveau international et est devenu une plateforme professionnelle de ransomware-as-a-service.
3. Araignée dispersée compte parmi les groupes les plus influents en 2025. Grâce à l'ingénierie sociale, au SIM-swapping et aux imitations de voix deepfake, ils ont compromis de grandes entreprises et contourné même les systèmes modernes d'identité et d'accès.
   En septembre, des arrestations coordonnées ont démantelé l'équipe centrale, mais des imitateurs et des scissions poursuivent les méthodes. La combinaison de la sophistication technique, de la manipulation psychologique et de l'usurpation d'identité ciblée a fait de ce groupe un acteur central dans le domaine de l'obtention d'accès.
4. Jouer au ransomware a été l'un des groupes les plus destructeurs, malgré le peu d'attention des médias. En attaquant plus de 900 fournisseurs de services gérés, ils ont compromis des environnements entiers de clients. Il se caractérise par l'utilisation d'un cryptage intermittent, dans lequel seules des parties de fichiers sont concernées. Cela accélère l'exécution et rend la détection plus difficile. En outre, le groupe utilise des fichiers binaires sur mesure et a élargi sa boîte à outils avec des modules pour les environnements virtualisés comme Linux et ESXi. L'exploitation ciblée des dépendances informatiques a fait de Play l'un des acteurs les plus dangereux de l'année.
5. ShinyHunters compte parmi les acteurs les plus dangereux en 2025. Le groupe infiltre les plateformes de cloud, reste souvent inaperçu pendant des mois et ne publie les données volées que lorsqu'elles peuvent être exploitées. Des marques mondiales telles que Google, Salesforce et Kering ont été touchées. Une caractéristique centrale est l'exploitation ciblée des obligations réglementaires. En Europe, ShinyHunters a souvent choisi de faire coïncider le moment de la publication avec les notifications officielles du RGPD. Ainsi, les dommages à la réputation et les risques de conformité faisaient partie intégrante du chantage. Ces attaques montrent à quel point la cybercriminalité et la réglementation sont désormais étroitement liées.
6. Détartreur Lumma est considéré comme l'épine dorsale de nombreuses opérations modernes de ransomware. Le malware collecte en masse les données d'accès, les cookies et les jetons des systèmes infectés. Ces données circulent rapidement sur les places de marché du darknet et servent de point d'entrée à des groupes comme Akira, Qilin et Play pour lancer des attaques ciblées. La combinaison avec des campagnes d'ingénierie sociale, par exemple via de faux messages CAPTCHA ou des messages d'erreur incitant les utilisateurs à exécuter des commandes malveillantes, est particulièrement efficace. Cette méthode hybride déjoue de nombreux mécanismes de protection classiques. Lumma montre que même des environnements bien sécurisés peuvent devenir vulnérables si un seul compte compromis est pris dans la routine de collecte.

Ce qui compte maintenant

Malgré l'amélioration des mesures de protection et le nombre croissant d'organisations qui refusent de payer, le milieu des ransomwares reste extrêmement lucratif. Certes, les demandes et les paiements de rançons se sont stabilisés à un niveau élevé après une augmentation en début d'année, mais les dommages financiers globaux continuent d'augmenter. Alors que certains groupes ont des difficultés à faire valoir leurs revendications, des acteurs bien organisés continuent de négocier des règlements de plusieurs millions avec une précision effrayante.

Cette évolution souligne à quel point les ransomwares se sont professionnalisés en tant que modèle commercial et à quel point il est important d'agir de manière structurée également du côté de la défense. De nombreuses mesures efficaces sont connues : des correctifs réguliers, des stratégies de sauvegarde crédibles, des contrôles d'accès robustes, des accès à distance renforcés et une sensibilisation ciblée à l'ingénierie sociale. En ancrant solidement ces bases dans la pratique, on améliore non seulement sa propre capacité de réaction, mais on réduit aussi durablement la surface d'attaque.

Source : OpenText

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/malware-2025-die-gefaehrlichsten-gruppen-des-jahres/