Cyber Threat Intelligence · Ransomware · 24·7·365

Les groupes ransomware qui visent l'Europe.

Une attaque n'est pas un événement. C'est quelqu'un. Notre SOC européen, opéré depuis Milan depuis 2017, suit 287 groupes adverses et outils d'attaque : voici les profils des groupes ransomware les plus actifs, avec alias, techniques d'accès, CVE exploitées et modèle d'extorsion. Quand nous intervenons, nous savons déjà qui ils sont et comment ils opèrent.

27Groupes profilés
287Adversaires et outils suivis
24·7SOC européen
Sources · intelligence
TTP observées sur le terrain
Surveillance leak site
Infrastructure C2
MITRE ATT&CK
Standards SOC
ISO 27001
STIX/TAXII
ISO 9001
Pourquoi un profil par groupe

Pas des «attaquants sophistiqués». Un nom, une technique.

La différence entre détecter et subir, c'est connaître l'adversaire avant qu'il n'agisse. Chaque profil réunit ce qu'il faut au triage : lignée et rebrands, techniques d'accès initial, CVE réellement exploitées, modèle d'extorsion. Les TTP de ces groupes sont intégrées aux règles de detection du SOC.

Threat intelligence · groupes suivis

Vingt-sept groupes ransomware, un profil chacun.

Profils bâtis sur des techniques observées sur le terrain et la surveillance de l'infrastructure de fuite. Là où la donnée publique reste mince, la fiche le dit : nous n'inventons pas de chiffres.

RaaS · relance 2025

LockBit 5.0

Relance de LockBit (septembre 2025) après l'opération Cronos. Encryptor multiplateforme (Windows, Linux, ESXi, Proxmox), AES-256-CTR avec RSA-2048, évasion avancée (process hollowing, patch d'ETW, effacement des logs). Double extorsion.

RaaS · lignée Conti

Akira

Actif depuis 2023, parmi les plus rentables en 2025. Accès via VPN sans MFA et pare-feux non corrigés : CVE-2024-40766 (SonicWall), CVE-2023-20269 (Cisco ASA), CVE-2024-37085 (VMware ESXi), CVE-2024-40711 (Veeam). Double extorsion.

RaaS · volume élevé

Qilin

Ex Agenda (2022), plus de mille victimes sur le leak site fin 2025, industrie en tête. Accès via phishing et applications exposées, Cobalt Strike, Rclone pour l'exfiltration. Exfiltrer, puis chiffrer.

RaaS · cartel

DragonForce

Depuis 2023, se déclare «cartel» en mars 2025 et absorbe les affiliés de RansomHub après son effondrement d'avril 2025. Exploite la chaîne Ivanti (CVE-2024-21887, CVE-2024-21893) et Log4Shell (CVE-2021-44228). Modèle en marque blanche, extorsion hybride.

RaaS · depuis 2023

INC Ransom

Code source cédé (juillet 2024) aux opérateurs de Lynx, considéré comme son successeur. Usurpation du personnel IT, abus d'outils légitimes. Double extorsion avec leak site.

Extorsion · rebrand

World Leaks

Rebrand (janvier 2025) de Hunters International : abandonne le chiffrement pour la seule exfiltration (Extortion as a Service). Outils d'exfiltration propres fournis aux affiliés.

Extorsion · ex-LockBit

Bashe (APT73)

Apparu en 2024 sous le nom APT73 (puis Eraleig, puis Bashe). Leak site imitant la mise en page de LockBit. Origine probable : un ancien affilié LockBit après la disruption de 2024.

RaaS · 2025

TheGentlemen

Depuis 2025, forte exploitation Fortinet (CVE-2024-55591). Living off the land (AnyDesk, PsExec, PowerShell), propagation via stratégies de groupe, évasion propre. Double extorsion.

Groupe fermé · 2025

DeadLock

Depuis 2025, BYOVD pour désactiver l'EDR (CVE-2024-51324, pilote Baidu), rotation des proxys via smart contracts Polygon, communications via Session. Environ 57 % des victimes en zone Europe et Russie.

RaaS · hacktivisme

Stormous

Actif depuis 2022, pro-russe, membre des «Five Families» et lié à Dragon RaaS. Spear-phishing, exploitation de VPN et RDP exposés, brute-force. Double extorsion à motivation politique.

Groupe fermé · 2024

SafePay

Depuis septembre 2024, pas un RaaS. Accès via identifiants valides et équipements edge (VPN, pare-feu, RD Gateway), chiffrement ChaCha20, chaîne parfois en moins de 24 heures. Cible : PME et MSP.

Extorsion · 2025

NightSpire

Depuis mars 2025 (successeur de Rbfs), exploite Fortinet CVE-2024-55591, vise les PME avec des délais de deux jours. Exfiltration via Rclone et MEGA, puis chiffrement AES-256 avec RSA-2048.

Double extorsion · 2024

Space Bears

Depuis 2024, lié à l'infrastructure Phobos. Leak site à l'esthétique «corporate». Frappe les PME de l'industrie, de la technologie et de la santé aux États-Unis et en Europe.

RaaS · rebrand RALord

Nova

Rebrand (avril 2025) de RALord. Encryptor en Rust, négociation via qTox. Déclare épargner écoles et associations. Double extorsion.

Extorsion · leak site

Titan

Marque d'extorsion avec revendications en 2026, suivie par les agrégateurs. Publie des échantillons de données (paie, documents). Détail technique public encore limité.

Double extorsion · 2026

M3rx

Apparu en 2026, encryptor en Go (échange de clés X25519, AES-CTR et AES-GCM), auto-suppression via PowerShell. Premières victimes surtout en IT et MSP, contact via Tox.

RaaS · depuis 2019

MedusaLocker

Déployé par des affiliés depuis 2019 (à ne pas confondre avec «Medusa» de 2021). Accès via brute-force RDP et identifiants volés, propagation via RDP, PsExec, SMB. Double extorsion.

Extorsion · depuis 2020

Everest

Depuis 2020, en transition du chiffrement vers la seule exfiltration et le courtage d'accès. Plus de 120 victimes dans la santé, avec des alertes dédiées aux États-Unis.

Groupe fermé · 2025

PayoutsKing

Depuis juillet 2025, encryptor propriétaire RSA avec AES-256 et forte anti-analyse (hachage d'API et de chaînes, syscalls directs). Phishing en accès initial, environ 100 victimes revendiquées.

Extorsion · 2025

Coinbase Cartel

Depuis septembre 2025 (aucun lien avec la plateforme Coinbase), exfiltration seule. Accès via identifiants volés par infostealers, fuites échelonnées et enchères. Plus de 160 victimes revendiquées.

RaaS · 2024

Anubis

Depuis décembre 2024, associe double extorsion et un mode «wipe» destructeur (rare cas d'encryptor plus wiper). Spear-phishing, partages d'affiliés flexibles (80/20, 60/40, 50/50).

Extorsion · 2025

NetRunner

Depuis 2025, frappe santé, télécoms et industrie (Japon, Italie, États-Unis, Jordanie). Rançon de 100 millions exigée d'un hôpital japonais. Structure RaaS ou fermée non confirmée.

IAB et extorsion · 2026

ALP-001

Ex «Alpha/DGJT», leak site actif depuis 2026. Monétise l'accès à des équipements de périmètre exposés (Fortinet, Cisco, Citrix, Palo Alto). Nombreuses revendications non vérifiables.

RaaS · 2025

Tengu

Depuis octobre 2025 (renommé «Shisa» en 2026). Abus de comptes valides via RDP et VPN sans MFA, chiffrement intermittent pour la vitesse. Leak site avec compte à rebours, environ 50 victimes.

Double extorsion · 2026

Payload

Depuis 2026, code dérivé de Babuk, multiplateforme Windows et ESXi. 12 victimes revendiquées au lancement dans sept pays. Détail public encore limité.

Extorsion · 2026

Lamashtu

Nouvel acteur apparu en 2026, petit leak site (énergie, pharma) entre France, Roumanie et Thaïlande. Nature de ransomware chiffrant non encore confirmée.

RaaS · 2026

Vect

Recrute depuis fin 2025, malware C++ multi-OS (Windows, Linux, ESXi). Faille critique connue : les fichiers de plus de 128 Ko sont détruits au lieu d'être chiffrés. Liens avec BreachForums et TeamPCP.

Lignées et rebrands notables : World Leaks est le rebrand de Hunters International, INC Ransom est considéré comme l'origine de Lynx, Nova est le rebrand de RALord, Tengu est devenu «Shisa», DragonForce a absorbé les affiliés de RansomHub.

FAQ · groupes ransomware

Les questions qui précèdent le triage.

Quels sont les groupes ransomware les plus actifs aujourd'hui ?

Parmi les plus actifs contre l'Europe : LockBit 5.0, Akira, Qilin, DragonForce, INC Ransom, SafePay, Anubis, Medusa et les nombreux groupes apparus en 2025 et 2026 (TheGentlemen, NightSpire, PayoutsKing, Coinbase Cartel, Tengu, Vect). Leurs TTP sont intégrées aux règles de detection du SOC.

Que signifient double et triple extorsion ?

Double extorsion : les données sont d'abord exfiltrées puis chiffrées, si bien que la restauration depuis les sauvegardes ne suffit pas à éviter la publication. Triple extorsion : un troisième levier s'ajoute (DDoS, contact direct des clients ou des employés, signalement au régulateur). Plusieurs groupes récents renoncent totalement au chiffrement.

Comment Fortgale suit-il ces groupes ?

En combinant les TTP observées sur le terrain lors des incidents, la surveillance des leak sites et des infrastructures C2, et des flux de threat intelligence. Quand nous intervenons sur un incident, nous savons déjà qui est l'attaquant et comment il opère, nous n'improvisons pas.

Connaître l'adversaire est le premier acte de la défense. L'arrêter à temps est le second. Connaître · Anticiper · Neutraliser.

Threat briefing sur votre secteur

Savez-vous lesquels de ces groupes surveillent votre secteur ?

Un threat briefing Fortgale met au point les groupes ransomware actifs contre votre industrie et vos expositions : accès exposés, CVE non corrigées, identifiants déjà en vente. Parlez à nos analystes.

Délai de réponse : < 1 jour ouvré.