Am stram gram : Comment les opérateurs de ransomware choisissent leurs victimes ?

Les chercheurs de la CTU (Counter Threat Unit™) sont fréquemment interrogés sur les groupes de ransomware qui pourraient constituer une menace pour les organisations dans des secteurs ou des zones géographiques spécifiques. Ces questions font généralement suite à la publication de rapports de tiers qui mettent en lumière la manière avec laquelle un groupe de ransomware particulier « cible » un secteur spécifique. Les chercheurs de la CTU™ comprennent, bien sûr, ces préoccupations, mais affirment que se concentrer sur la défense contre des groupes spécifiques n'est pas la meilleure façon d'éviter d'être victime d'un ransomware. Étant donné que la majorité des attaques de type ransomware sont opportunistes, les organisations devraient plutôt réfléchir à la manière avec laquelle elles pourraient se préparer au mieux à contrer tout type d’attaque de ransomware ou vol de données, et ce quels que soient les auteurs.

La manière avec laquelle les acteurs malveillants choisissent leurs victimes et déploient les ransomwares dépend de leurs motivations. Les cybercriminels veulent gagner de l'argent, donc toutes les organisations sont des victimes potentielles de ces derniers. À l'inverse, les acteurs parrainés par des États utilisent les ransomwares à des fins destructrices, pour dissimuler des activités d'espionnage, afin de générer des revenus ou bien pour combiner ces différents objectifs. Chacun de ces groupes présente donc un profil malveillant distinct, et les organisations ciblées peuvent varier considérablement.

Cybercriminalité

Les attaques à motivation financière sont de loin les opérations de ransomware les plus répandues. Comme les acteurs malveillants s'en prennent à toute organisation à laquelle ils peuvent accéder, les organisations de tous secteurs, quelles que soient leurs localisations sont menacées.

Bien que certains groupes puissent choisir d'exploiter les accès disponibles pour pénétrer dans des entreprises à revenus plus élevés en pensant qu’ils pourront ainsi obtenir une rançon plus importante, les données télémétriques des clients de Sophos révèlent que la plupart des tentatives de déploiement de ransomware ont lieu dans de petites organisations. Ces entreprises sont probablement plus susceptibles d'être compromises en raison de budgets limités en matière de cybersécurité et du manque de ressources internes dédiées à la cybersécurité.

Accès opportuniste à des fins financières

Les opérations de ransomware à motivation financière sont presque entièrement opportunistes et basées sur l'accès disponible. Cet accès a pu être obtenu via des malwares diffusés lors de campagnes de phishing, des identifiants capturés par des infostealers ou l'exploitation de vulnérabilités au niveau de services accessibles depuis Internet. Quelle que soit la méthode, l'approche est aléatoire et non ciblée. Les chercheurs de la CTU tentent donc d'éviter d'utiliser le mot « ciblage » lorsqu'ils parlent d'attaques, préférant le terme « victimisation » pour décrire le processus de sélection des victimes.

Toute priorisation implique probablement une évaluation des victimes potentielles à ne pas attaquer plutôt que des victimes à attaquer. Par exemple, la plupart des groupes de ransomware russes et d'Europe de l'Est évitent délibérément de compromettre des organisations en Russie ou dans d'autres pays membres de la CIS (Commonwealth of Independent States), et de plus en plus les membres du bloc économique BRICS, afin d'éveiller les soupçons des forces de l'ordre russes ou d’agences alignées avec la Russie. Certains groupes peuvent également faire en sorte d'éviter d'attaquer les organisations des secteurs de la santé ou des infrastructures critiques, probablement pour éviter les pressions internationales exercées ensuite sur les forces de l'ordre locales afin qu'elles prennent des mesures, même si ces groupes mettront souvent plutôt en avant des raisons éthiques ou morales complètement fausses.

Le secteur bancaire illustre bien le caractère opportuniste des attaques de ransomware perpétrées par les cybercriminels. Les banques sont des organisations à fort chiffre d'affaires, et une perturbation de leurs opérations causée par un ransomware constituerait une motivation puissante qui les inciterait à payer des rançons. En théorie, ces facteurs en feraient des cibles privilégiées pour de telles attaques. Cependant, les chercheurs de la CTU constatent que très peu de banques sont ciblées par les ransomwares. Cette situation s'explique probablement par le fait qu'il s'agisse d'un secteur fortement réglementé, avec des normes de cybersécurité obligatoires qui éliminent les potentiels écarts en matière de protection entre les différents acteurs/concurrents. En conséquence, des investissements sont réalisés, des frameworks de contrôle sont définis, les périmètres sont bien défendus et les réseaux sont conçus pour limiter les possibilités de compromission. Les organisations opérant dans des secteurs non réglementés sont plus susceptibles d'être victimes d'attaques opportunistes, car l'adoption de pratiques de cybersécurité robustes n'est pas incitée de la même manière. Par exemple, le renforcement des mesures de sécurité dans le secteur manufacturier augmente les coûts d'une entreprise et rend les produits concurrents comparativement moins chers.

Lorsque des organisations d'un secteur particulier sont victimes d'un groupe spécifique, c'est probablement parce que ce groupe exploite une vulnérabilité dans un service largement utilisé dans ce secteur. Les organisations d'un même secteur ont généralement des frameworks de sécurité similaires. Il existe toutefois des exceptions. Certains groupes peuvent cibler des organisations appartenant à des secteurs qu'ils estiment plus susceptibles de payer une rançon. Par exemple, les affiliés de Conti ont délibérément attaqué des hôpitaux pendant la pandémie de COVID-19, croyant que cette stratégie augmenterait leurs chances de percevoir une rançon. GOLD VICTOR, qui a lancé les opérations de ransomware nommées Vice Society et Rhysida, a une nette préférence pour les organisations des secteurs de la santé et de l'éducation, probablement pour la même raison (voir Figure 1). Toutefois, au cours des six mois précédant le 31 décembre 2025, Rhysida représentait moins de 1% du nombre total de victimes répertoriées sur tous les sites de fuites de données. Les attaques par ransomware restent, pour la plupart, largement aléatoires.

Figure 1: Secteurs ciblés, tous groupes de ransomware confondus, du 1er mai 2021 au 31 décembre 2025, comparés à la répartition pour Vice Society et Rhysida.

La priorisation des victimes varie probablement beaucoup d'un groupe à l'autre, en fonction de leur maturité, de leur expertise et de leur appétit pour le risque. Le modèle d'affiliation au niveau des systèmes RaaS (Ransomware-as-a-Service) a certainement rendu ce processus beaucoup moins prévisible. Bien que les affiliés d'un même système puissent partager un mode opératoire, ils passent également d'un système à l'autre pour obtenir les meilleures conditions, rendant ainsi l'attribution et l'anticipation des intrusions difficiles.

Lors de la recherche de partenaires affiliés, certains groupes imposent des conditions telles que l'interdiction de cibler certains secteurs et zones géographiques, et l'exigence que le chiffre d'affaires des victimes dépasse un certain montant afin de garantir que le temps consacré à l'attaque se traduise par un gain financier. Toutefois, il est presque sûr que certains affiliés inexpérimentés ne procèdent à aucun tri et ne sont probablement pas pleinement conscients de l'identité de leurs victimes avant d'avoir volé des données et déployé un ransomware. Si un attaquant n'évalue pas correctement l'impact potentiel, le déploiement d'un ransomware peut avoir des conséquences dévastatrices par accident. Par exemple, il est très peu probable que des affiliés de Qilin qui ont lancé lancé une attaque de ransomware sur Synnovis en juin 2024 savait que leur offensive entraînerait des dommages aussi importants au niveau des opérations du NHS (National Health Service) à Londres.

Compromission de la supply chain

Certains acteurs malveillants se concentrent sur la compromission de la supply chain, ce qui peut faire croire à des opérations de ransomware ou de vol de données ciblées alors qu'elles ne le sont pas. Par exemple, le groupe malveillant GOLD TAHOE qui exploite le ransomware Clop crée délibérément des exploits pour les vulnérabilités zero-day des services MFT (Managed File Transfer) afin de voler des données et de les monnayer dans le but d’obtenir une rançon. Le groupe ne cible ni n'extorque délibérément aucune organisation en particulier ; les victimes qui utilisent tout simplement le service attaqué se retrouvent être victimes de l'attaque. Étant donné que l'exploitation et le vol de données se produisent à grande échelle et de manière automatisée, toute priorisation intervient après que le groupe a collecté les données et identifié les victimes. Il est possible que GOLD TAHOE privilégie l'extorsion contre certaines entreprises, peut-être en fonction de leur chiffre d'affaires ou de leur secteur d'activité, mais les demandes de rançon semblent génériques et imprécises. Néanmoins, cette activité, qui témoigne d'une grande maîtrise technique, est atypique pour un groupe de cybercriminels.

Reconnaissance des pairs

Une autre motivation dans les opérations de ransomware des cybercriminels, susceptible de modifier la dynamique de sélection des victimes, est la reconnaissance des pairs. Par exemple, on ne sait pas clairement comment Scattered Spider, un collectif disparate de jeunes individus que les chercheurs de la CTU suivent sous le nom de GOLD HARVEST, choisit les organisations à cibler. Cependant, la motivation principale des membres du groupe pour leurs attaques n’est pas nécessairement le gain financier. Comme les précédents groupes tels que GOLD RAINFOREST (également connu sous le nom de Lapsus$) et Lulzsec, les attaques semblent être lancées pour se vanter et obtenir une certaine forme de reconnaissance plutôt que pour gagner de l'argent, de sorte qu'elles touchent régulièrement des organisations de premier plan. GOLD HARVEST a fait preuve d’un savoir-faire indéniable lors de ses différentes opérations. En compromettant les identifiants de la solution de sécurisation des identités Okta, par exemple, les acteurs malveillants ont pu cibler par la suite des entreprises qui utilisaient Okta pour l'authentification.

Certaines techniques employées par le groupe consistent à sélectionner les cibles sans recourir à un accès opportuniste, contrairement à d'autres groupes de cybercriminels ou de spécialistes des ransomwares. Les membres du collectif, qui sont majoritairement des anglophones natifs, tentent d'accéder aux organisations choisies par le biais de l'ingénierie sociale : en appelant le personnel du service d'assistance pour réinitialiser les mots de passe ou enrôler des dispositifs d'authentification multifacteur (MFA). Ils ne réussiront peut-être pas toujours, mais cette technique représente néanmoins une menace différente de celle que représentent des groupes cybercriminels ou de ransomware classiques.

Cela dit, il est possible que le groupe utilise également des opportunités d'accès disponibles afin d’exploiter les victimes. Bien que les chercheurs de la CTU n'aient pas d'informations particulières sur les attaques, il a été dit que le fournisseur IT tiers TCS (Tata Consulting Services) avait joué un rôle dans les attaques contre M&S et Co-op en 2025. TCS a refuté le fait que ses systèmes et utilisateurs aient été compromis.

Brand building

Les opérateurs RaaS pourraient être incités à développer leur marque pour attirer des affiliés en incitant ces derniers à cibler n'importe quelle organisation, quelle que soit la probabilité de versement d’une rançon, afin d'augmenter le nombre de victimes et de donner plus d'impact à leur stratégie malveillante. Cette approche crée un dilemme pour les opérateurs RaaS : comment peuvent-ils avoir un impact suffisant afin de rendre un système attractif pour les affiliés sans causer des dommages qui attireront de fait l'attention des forces de l'ordre ? La plupart des groupes cherchent simplement à gagner de l'argent ; cibler des organisations qui représentent un risque pour leurs opérations est donc une mauvaise idée. Leur processus de sélection consiste donc probablement à éviter de cibler les organisations de premier plan (par exemple, les hôpitaux, les organisations caritatives). De plus, le nombre d'acteurs malveillants peu qualifiés impliqués dans des attaques de type ransomware signifie que le paysage est dominé par des intrusions à volume élevé et de faible « qualité », ayant donc un impact moindre sur les organisations compromises. Cet impact moindre pourrait expliquer pourquoi le taux d'organisations payant des rançons continue de baisser.

Ransomware parrainé par l'État

Les opérations de ransomware parrainés par des États ne sont généralement pas opportunistes, mais ciblent délibérément des organisations spécifiques. Le ciblage est fortement influencé par la motivation et les objectifs opérationnels des acteurs malveillants. Les opérations parrainées par des États représentent une très faible proportion du volume total des attaques de ransomware.

Les chercheurs de la CTU ont observé trois motivations principales dans les attaques de ransomware commanditées par des États ou en lien direct avec le gouvernement.

Génération de revenus

Les groupes parrainés par des États et axés sur la génération de revenus sont susceptibles d'être moins ciblés dans leurs déploiements de ransomware que les groupes motivés par d'autres objectifs. Plusieurs groupes malveillants nord-coréens ont expérimenté des attaques de ransomware pour générer des revenus, allant de l'utilisation ciblée de ransomware comme Maui au ransomware de type ver (worm) frappant au hasard tel que WCry (également connu sous le nom de WannaCry). Les victimes connues travaillent souvent dans le secteur de la santé, ce qui pourrait indiquer un choix délibéré de la part d'un gouvernement qui ne se soucie pas des risques potentiels pour la vie ou des conséquences légales ou judiciaires et qui a déterminé que les organismes de santé étaient les plus susceptibles de payer une rançon.

De même, les attaques de ransomware du groupe malveillant iranien COBALT MIRAGE ont utilisé une combinaison inhabituelle de liens avec des opérations parrainées par l'État et un ciblage qui n'avaient aucun alignement stratégique apparent avec des intérêts gouvernementaux. Une investigation ultérieure a permis d'identifier des entités du secteur privé en Iran qui travaillaient pour des opérations impliquant l’IRGC (Iranian Revolutionary Guard Corp) mais qui utilisaient également des techniques similaires pour mener des attaques de ransomware à leur propre profit.

Écrans de fumée pour masquer d'autres activités

Certains acteurs parrainés par des États, comme le groupe malveillant BRONZE STARLIGHT basé en Chine, utilisent des ransomwares comme couverture pour des activités d'espionnage. Les systèmes de chiffrement masquent les traces forensiques de l'intrusion complète, pendant que les actions concrètes lancées par les ransomwares détournent l'attention des investigateurs des véritables objectifs des attaquants et de l'impact réel. Par conséquent, lors d’activités de type écran de fumée, le déploiement du ransomware cible des organisations spécifiques et est mis en œuvre comme n’importe quelle activité parrainée par un État (c'est-à-dire ciblée et déterminée).

Perturbation, harcèlement et influence

Les ransomwares sont un outil de perturbation puissant, utile aux acteurs malveillants souhaitant nuire aux activités d'organisations situées dans des pays considérés comme hostiles. Ce constat peut rendre l'attribution et la découverte des motivations difficiles. Par exemple, les chercheurs de la CTU ont initialement attribué le déploiement du ransomware DarkBit dans une organisation du Moyen-Orient à un groupe à motivation financière (GOLD AZTEC), mais ont par la suite réorienté les motivations du groupe à mesure que de nouvelles preuves ont été mises au jour concernant son historique de ciblage et les techniques utilisées. L'analyse a indiqué qu'il s'agissait en fait d'un groupe parrainé par l'État iranien et impliqué dans des attaques destructrices, les chercheurs de la CTU l'ont donc renommé COBALT AZTEC. D'autres groupes terroristes iraniens tels que COBALT SAPLING, COBALT MYSTIQUE et COBALT SHADOW se cachent derrière de fausses identités d’hacktivistes pour cibler des organisations spécifiques en Israël et en Albanie avec des attaques de ransomware et de vol de données perturbatrices.

De même, la Russie a lancé plusieurs vagues d'attaques de ransomware contre le secteur financier ukrainien avant 2022, la plus médiatisée étant NotPetya. Alors que certaines organisations touchées ont tenté de récupérer leurs systèmes en payant une rançon, les auteurs de ces attaques n'ont pas fourni d'outils de déchiffrement car ils n'agissaient pas dans un but financier ni pour se forger une réputation.

Bien que la motivation première de ces attaques ne soit pas financière, il est à la fois plausible et probable que certains groupes parrainés par des États s'engagent dans des négociations de rançon avec les victimes afin de leur extorquer de l’argent. Cependant, tout porte à croire qu'il s'agirait d'une activité secondaire lucrative plutôt que d'un facteur déterminant dans le choix des cibles. Des groupes iraniens, en particulier, ont divulgué des détails sur des négociations visant à amplifier la visibilité de l'attaque, à causer des dommages politiques supplémentaires à la victime et à affaiblir le gouvernement israélien. Ce type d'activité ajoute évidemment une couche de complexité supplémentaire à l'attribution.

Conclusion

La plupart des attaques de type ransomware sont opportunistes et menées par des cybercriminels dans un but lucratif. Les acteurs malveillants exploitent l'accès dont ils disposent plutôt que de tenter d'accéder à des cibles prioritaires. La priorisation des victimes, si elle a lieu, se fait après l'obtention de l'accès. De ce fait, les organisations sont victimes plutôt que ciblées à proprement parler. Bien que certains groupes de ransomware et leurs affiliés soient compétents alors que d'autres beaucoup moins, une attaque menée par n'importe quel groupe peut avoir un impact significatif sur une victime. Par conséquent, les responsables de la défense des réseaux doivent réfléchir aux outils, tactiques, techniques et procédures (TTP) que tous les groupes de ransomware et leurs affiliés utilisent dans le contexte des piles technologiques (tech stack) des environnements de leurs organisations.

Les chercheurs de la CTU réitèrent leurs recommandations en matière de défense contre les ransomwares car, dans presque toutes les intrusions qu'ils observent ou analysent, les victimes n'ont pas suivi leurs conseils. Une telle situation ne signifie pas pour autant que la mise en œuvre des recommandations soit facile, en effet les environnements sont souvent complexes et difficiles à gérer, mais elles devraient certainement figurer en tête de la liste des priorités de toute organisation.

• L’installation des correctifs au niveau des services accessibles depuis Internet empêche leur détection lors des analyses de vulnérabilité de routine effectuées quotidiennement sur les réseaux.
• L’application rigoureuse de l’authentification multifacteur (MFA), de préférence une version résistante au phishing, sur tous les comptes utilisateur signifie que les identifiants volés ou récupérés ne pourront pas être facilement réutilisés pour accéder au compte.
• L'utilisation d'une solution EDR (Endpoint Detection and Response) augmente considérablement les possibilités de détection et de remédiation.
• La mise en place de sauvegardes inaltérables permet une récupération plus rapide après un incident de ransomware, permettant ainsi aux organisations de reprendre leurs activités normales le plus rapidement possible.

Billet inspiré de Eeny, meeny, miny, moe? How ransomware operators choose victims, sur le Blog Sophos.