LockBit 5.0
Relance de LockBit (septembre 2025) après l'opération Cronos. Encryptor multiplateforme (Windows, Linux, ESXi, Proxmox), AES-256-CTR avec RSA-2048, évasion avancée (process hollowing, patch d'ETW, effacement des logs). Double extorsion.
Une attaque n'est pas un événement. C'est quelqu'un. Notre SOC européen, opéré depuis Milan depuis 2017, suit 287 groupes adverses et outils d'attaque : voici les profils des groupes ransomware les plus actifs, avec alias, techniques d'accès, CVE exploitées et modèle d'extorsion. Quand nous intervenons, nous savons déjà qui ils sont et comment ils opèrent.
La différence entre détecter et subir, c'est connaître l'adversaire avant qu'il n'agisse. Chaque profil réunit ce qu'il faut au triage : lignée et rebrands, techniques d'accès initial, CVE réellement exploitées, modèle d'extorsion. Les TTP de ces groupes sont intégrées aux règles de detection du SOC.
Profils bâtis sur des techniques observées sur le terrain et la surveillance de l'infrastructure de fuite. Là où la donnée publique reste mince, la fiche le dit : nous n'inventons pas de chiffres.
Relance de LockBit (septembre 2025) après l'opération Cronos. Encryptor multiplateforme (Windows, Linux, ESXi, Proxmox), AES-256-CTR avec RSA-2048, évasion avancée (process hollowing, patch d'ETW, effacement des logs). Double extorsion.
Actif depuis 2023, parmi les plus rentables en 2025. Accès via VPN sans MFA et pare-feux non corrigés : CVE-2024-40766 (SonicWall), CVE-2023-20269 (Cisco ASA), CVE-2024-37085 (VMware ESXi), CVE-2024-40711 (Veeam). Double extorsion.
Ex Agenda (2022), plus de mille victimes sur le leak site fin 2025, industrie en tête. Accès via phishing et applications exposées, Cobalt Strike, Rclone pour l'exfiltration. Exfiltrer, puis chiffrer.
Depuis 2023, se déclare «cartel» en mars 2025 et absorbe les affiliés de RansomHub après son effondrement d'avril 2025. Exploite la chaîne Ivanti (CVE-2024-21887, CVE-2024-21893) et Log4Shell (CVE-2021-44228). Modèle en marque blanche, extorsion hybride.
Code source cédé (juillet 2024) aux opérateurs de Lynx, considéré comme son successeur. Usurpation du personnel IT, abus d'outils légitimes. Double extorsion avec leak site.
Rebrand (janvier 2025) de Hunters International : abandonne le chiffrement pour la seule exfiltration (Extortion as a Service). Outils d'exfiltration propres fournis aux affiliés.
Apparu en 2024 sous le nom APT73 (puis Eraleig, puis Bashe). Leak site imitant la mise en page de LockBit. Origine probable : un ancien affilié LockBit après la disruption de 2024.
Depuis 2025, forte exploitation Fortinet (CVE-2024-55591). Living off the land (AnyDesk, PsExec, PowerShell), propagation via stratégies de groupe, évasion propre. Double extorsion.
Depuis 2025, BYOVD pour désactiver l'EDR (CVE-2024-51324, pilote Baidu), rotation des proxys via smart contracts Polygon, communications via Session. Environ 57 % des victimes en zone Europe et Russie.
Actif depuis 2022, pro-russe, membre des «Five Families» et lié à Dragon RaaS. Spear-phishing, exploitation de VPN et RDP exposés, brute-force. Double extorsion à motivation politique.
Depuis septembre 2024, pas un RaaS. Accès via identifiants valides et équipements edge (VPN, pare-feu, RD Gateway), chiffrement ChaCha20, chaîne parfois en moins de 24 heures. Cible : PME et MSP.
Depuis mars 2025 (successeur de Rbfs), exploite Fortinet CVE-2024-55591, vise les PME avec des délais de deux jours. Exfiltration via Rclone et MEGA, puis chiffrement AES-256 avec RSA-2048.
Depuis 2024, lié à l'infrastructure Phobos. Leak site à l'esthétique «corporate». Frappe les PME de l'industrie, de la technologie et de la santé aux États-Unis et en Europe.
Rebrand (avril 2025) de RALord. Encryptor en Rust, négociation via qTox. Déclare épargner écoles et associations. Double extorsion.
Marque d'extorsion avec revendications en 2026, suivie par les agrégateurs. Publie des échantillons de données (paie, documents). Détail technique public encore limité.
Apparu en 2026, encryptor en Go (échange de clés X25519, AES-CTR et AES-GCM), auto-suppression via PowerShell. Premières victimes surtout en IT et MSP, contact via Tox.
Déployé par des affiliés depuis 2019 (à ne pas confondre avec «Medusa» de 2021). Accès via brute-force RDP et identifiants volés, propagation via RDP, PsExec, SMB. Double extorsion.
Depuis 2020, en transition du chiffrement vers la seule exfiltration et le courtage d'accès. Plus de 120 victimes dans la santé, avec des alertes dédiées aux États-Unis.
Depuis juillet 2025, encryptor propriétaire RSA avec AES-256 et forte anti-analyse (hachage d'API et de chaînes, syscalls directs). Phishing en accès initial, environ 100 victimes revendiquées.
Depuis septembre 2025 (aucun lien avec la plateforme Coinbase), exfiltration seule. Accès via identifiants volés par infostealers, fuites échelonnées et enchères. Plus de 160 victimes revendiquées.
Depuis décembre 2024, associe double extorsion et un mode «wipe» destructeur (rare cas d'encryptor plus wiper). Spear-phishing, partages d'affiliés flexibles (80/20, 60/40, 50/50).
Depuis 2025, frappe santé, télécoms et industrie (Japon, Italie, États-Unis, Jordanie). Rançon de 100 millions exigée d'un hôpital japonais. Structure RaaS ou fermée non confirmée.
Ex «Alpha/DGJT», leak site actif depuis 2026. Monétise l'accès à des équipements de périmètre exposés (Fortinet, Cisco, Citrix, Palo Alto). Nombreuses revendications non vérifiables.
Depuis octobre 2025 (renommé «Shisa» en 2026). Abus de comptes valides via RDP et VPN sans MFA, chiffrement intermittent pour la vitesse. Leak site avec compte à rebours, environ 50 victimes.
Depuis 2026, code dérivé de Babuk, multiplateforme Windows et ESXi. 12 victimes revendiquées au lancement dans sept pays. Détail public encore limité.
Nouvel acteur apparu en 2026, petit leak site (énergie, pharma) entre France, Roumanie et Thaïlande. Nature de ransomware chiffrant non encore confirmée.
Recrute depuis fin 2025, malware C++ multi-OS (Windows, Linux, ESXi). Faille critique connue : les fichiers de plus de 128 Ko sont détruits au lieu d'être chiffrés. Liens avec BreachForums et TeamPCP.
Lignées et rebrands notables : World Leaks est le rebrand de Hunters International, INC Ransom est considéré comme l'origine de Lynx, Nova est le rebrand de RALord, Tengu est devenu «Shisa», DragonForce a absorbé les affiliés de RansomHub.
Connaître le groupe est le premier acte. L'arrêter à temps est le second : intervention si l'attaque est en cours, protection pour qu'elle n'arrive pas.
Hotline IR 24·7·365 : réponse opérationnelle en 30 min, containment médian <30 min, appui à la notification CSIRT sous 24h NIS2.
Activer l'urgence →Les actions des premières minutes : isoler sans éteindre, ne pas payer sur un coup de tête, activer l'incident response, préserver les preuves.
Guide d'urgence →Le SOC intercepte l'attaquant dans les quatre premières phases, pendant les 21 jours de dwell time, avant qu'il ne touche données ou sauvegardes.
Découvrir la protection →Parmi les plus actifs contre l'Europe : LockBit 5.0, Akira, Qilin, DragonForce, INC Ransom, SafePay, Anubis, Medusa et les nombreux groupes apparus en 2025 et 2026 (TheGentlemen, NightSpire, PayoutsKing, Coinbase Cartel, Tengu, Vect). Leurs TTP sont intégrées aux règles de detection du SOC.
Double extorsion : les données sont d'abord exfiltrées puis chiffrées, si bien que la restauration depuis les sauvegardes ne suffit pas à éviter la publication. Triple extorsion : un troisième levier s'ajoute (DDoS, contact direct des clients ou des employés, signalement au régulateur). Plusieurs groupes récents renoncent totalement au chiffrement.
En combinant les TTP observées sur le terrain lors des incidents, la surveillance des leak sites et des infrastructures C2, et des flux de threat intelligence. Quand nous intervenons sur un incident, nous savons déjà qui est l'attaquant et comment il opère, nous n'improvisons pas.
Connaître l'adversaire est le premier acte de la défense. L'arrêter à temps est le second. Connaître · Anticiper · Neutraliser.
Un threat briefing Fortgale met au point les groupes ransomware actifs contre votre industrie et vos expositions : accès exposés, CVE non corrigées, identifiants déjà en vente. Parlez à nos analystes.
Aucune séquence de nurturing, aucune réponse automatique. Un de nos analystes vous rappelle sous un jour ouvré.
Le Report complet (executive summary · IoC opérationnels · runbook technique) est confidentiel. Envoyez-nous deux informations et un de nos analystes vous recontacte avec l'accès et un bref briefing technique.
Réponse en 30 minutes, confinement en 1 à 4 heures. Même si vous n'êtes pas client Fortgale.