Explosion des Rançongiciels : L'Impact Dévastateur de l'IA

Le service de surveillance FortiRecon a ainsi répertorié 7 831 cas confirmés d'organisations prises pour cibles par des ransomwares à l'échelle mondiale durant l'année. Cette statistique représente une multiplication par près de cinq par rapport à l'exercice précédent, qui n'affichait que 1 600 incidents environ, soit une explosion de 389 %.

Le secteur industriel arrive en tête des cibles avec 1 284 entreprises touchées, talonné par les services professionnels (824) et la vente au détail (682). Géographiquement, les États-Unis regroupent la majorité des sinistres (3 381), devant le Canada (374) et l'Allemagne (291).

Du côté des organisations criminelles en action, la cellule Qilin s'impose en tête du classement en revendiquant 1 021 attaques à elle seule. Ce constat corrobore les analyses partagées suite aux récents rapports de l'ANSSI, qui plaçaient déjà ce groupe au premier rang des menaces sur le territoire français.

Les collectifs Akira et Safepay se partagent la suite du podium avec 645 cibles chacun. L'étude note également l'émergence constante de nouvelles structures criminelles, dont certaines affichent un historique encore modeste de moins de dix piratages à leurs débuts.

Dans près de la moitié des détections (48,96 %) enregistrées par le réseau de Fortinet, les comportements suspects s'appuient sur des programmes tout à fait officiels déjà implantés au sein de l'architecture informatique de la cible.

Les pirates exploitent ainsi des scripts d'origine comme PowerShell ou des applications de contrôle à distance courantes telles que LogMeIn, AnyDesk ou Ngrok. En se servant d'outils indispensables aux tâches quotidiennes des entreprises, les intrus parviennent à masquer efficacement leur présence, rendant leur identification particulièrement ardue.

Le précédent état des lieux dressé par FortiGuard Labs faisait état d'un intervalle moyen de 4,76 jours entre la découverte d'une vulnérabilité et sa première utilisation malveillante. Désormais, cette latence s'est effondrée pour tomber entre 24 et 48 heures concernant les failles les plus graves.

Dans plusieurs situations, à l'image d'une faille touchant Apache Tomcat (CVE-2025-24813) ou des solutions Fortra GoAnywhere (CVE-2025-10035), le délai d'action a été réduit à néant : les piratages ont débuté simultanément à l'annonce officielle de la vulnérabilité.

Cette réactivité accrue s'explique par la démocratisation de solutions d'IA à vocation offensive sur les réseaux clandestins. FortiRecon a ainsi identifié diverses solutions vendues aux cyberdélinquants :

Ces programmes ne conçoivent pas de failles inédites, mais ils réduisent de façon drastique le temps nécessaire pour industrialiser le piratage d'une vulnérabilité fraîchement découverte.

Pour finir, FortiRecon a dénombré 4,62 milliards de journaux de données volées (stealer logs) circulant sur le darkweb, ce qui équivaut à une hausse de 79 % sur un an. Ces répertoires centralisent des codes de connexion, des mots de passe et des jetons d'identification dérobés par des logiciels espions.

Le programme espion RedLine s'est particulièrement illustré en provoquant 911 968 contaminations, devançant Lumma (499 784) et Vidar (236 778). Grâce à l'accès massif à ces bases d'identifiants, les attaquants s'affranchissent des techniques d'intrusion complexes : il leur suffit désormais d'entrer sur les réseaux en utilisant des accès tout à fait authentiques.