LockBit démantelé, BlackCat a volé la caisse, RansomHub a comblé le vide — Comment le Ransomware s'est réinventé en 2024

L'opération Cronos a paralysé l'infrastructure de LockBit en février 2024, ALPHV/BlackCat a implosé dans une arnaque à la sortie de 22 millions de dollars quelques semaines plus tard, et RansomHub a absorbé les affiliés déplacés pour devenir l'opérateur de Ransomware le plus prolifique de 2024. Les victoires des forces de l'ordre n'ont pas réduit la menace — elles l'ont redistribuée sous une forme plus volatile et plus difficile à tracer, ouvrant la voie à un écosystème fragmenté et assisté par l'IA qui ne cesse de s'intensifier jusqu'à mi-2026.

Opération Cronos : Anatomie d'une perturbation majeure

Le 19 février 2024, une coalition de dix pays menée par la National Crime Agency (NCA) britannique et le FBI américain a exécuté l'opération Cronos contre LockBit, le groupe de Ransomware dominant depuis au moins 2022. Les autorités ont saisi 34 serveurs dans plusieurs juridictions, fermé le site de fuite de LockBit sur le dark web, clôturé 14 000 comptes malveillants, gelé 200 portefeuilles de cryptomonnaies et obtenu plus de 1 000 clés de déchiffrement. Deux individus ont été arrêtés en Pologne et en Ukraine. Les ressortissants russes Artur Sungatov et Ivan Kondratyev (alias « Bassterlord ») ont été mis en examen aux États-Unis.

La dimension psychologique de l'opération s'est révélée aussi significative que sa dimension technique. Les autorités ont détourné le propre site de fuite de LockBit pour exposer le fonctionnement interne du groupe, publier les identités des affiliés et adresser des messages personnalisés aux membres se connectant à leurs panneaux de contrôle. Le présumé meneur, Dmitry Yuryevich Khoroshev (alias « LockBitSupp »), a été identifié publiquement et une récompense de 10 millions de dollars du Département d'État américain a été fixée pour toute information menant à son arrestation. Il a par la suite été banni des principaux forums de cybercriminalité, coupant ainsi ses canaux de recrutement et de communication.

La perturbation était réelle, mais pas définitive. En quelques jours, LockBitSupp affirmait avoir restauré ses systèmes. À mi-2025, le groupe s'est rebaptisé LockBit 4.0, remplaçant son chiffrement hybride AES-256 + RSA-2048 par ChaCha20-Poly1305, adoptant un modèle d'hébergement fédéré et réformant son programme d'affiliés. Check Point Research a confirmé des campagnes d'extorsion actives de LockBit 4.0 ciblant des organisations dans des environnements Windows, Linux et ESXi en Europe, sur les Amériques et en Asie dès septembre 2025.

L'arnaque à la sortie de BlackCat : Une trahison à 22 millions de dollars

Pendant que les forces de l'ordre célébraient le coup porté à LockBit, ALPHV/BlackCat orchestrait l'une des trahisons les plus éhontées de l'histoire du Ransomware. En février 2024, un affilié de BlackCat a compromis Change Healthcare — une filiale d'UnitedHealth Group qui traite 15 milliards de transactions de santé par an et touche un dossier patient américain sur trois. Le vecteur d'accès initial était un portail d'accès à distance Citrix dépourvu d'authentification multifacteur.

Change Healthcare a détecté l'intrusion le 21 février 2024 et a coupé ses systèmes. Le PDG d'UnitedHealth Group, Andrew Witty, a confirmé par la suite que l'entreprise avait versé une rançon de 22 millions de dollars en Bitcoin à BlackCat pour tenter d'éviter la publication des données patients. En vain. Un affilié mécontent a publiquement accusé les opérateurs de BlackCat d'avoir conservé l'intégralité du paiement sans verser la commission convenue — tout en détenant encore 4 téraoctets de données volées. Lorsque BlackCat a publié un faux avis de saisie par les forces de l'ordre sur son site de fuite en mars 2024, des chercheurs dont Fabian Wosar, responsable de la recherche sur les Ransomware chez Emsisoft, l'ont rapidement identifié comme un faux. Le DOJ, Europol et la NCA ont tous nié toute implication. BlackCat avait arnaqué ses propres affiliés avant de disparaître.

Les dommages collatéraux ont été considérables. L'attaque a perturbé la soumission de demandes de remboursement, la vérification d'éligibilité, le traitement des paiements et les transactions en pharmacies à l'échelle nationale. L'American Hospital Association l'a qualifié d'« incident le plus significatif et le plus lourd de conséquences de ce type contre le système de santé américain dans l'histoire ». UnitedHealth Group a déclaré plus de 870 millions de dollars de pertes au seul premier trimestre 2024, les coûts totaux de réponse étant estimés entre 2,3 et 2,45 milliards de dollars. Les données d'environ 190 millions de personnes — plus de la moitié de la population américaine — ont été compromises. Pour couronner le tout, RansomHub a ensuite prétendu détenir également les données volées de Change Healthcare et a exigé une deuxième rançon d'UnitedHealth Group.

RansomHub : Le combleur de vide

RansomHub a été lancé en février 2024 — le même mois que l'attaque contre Change Healthcare — et ce timing n'était pas fortuit. Des chercheurs de plusieurs entreprises l'évaluent comme un possible rebranding ou dérivé du Ransomware Knight (Cyclops), ou que ses opérateurs ont acquis le code source de Knight. Son modèle économique a été conçu explicitement pour attirer les affiliés lésés par les perturbations de LockBit et BlackCat : les affiliés gèrent directement les paiements de rançons et ne reversent qu'une commission de 10 % au groupe central, contre 20 à 30 % dans les plateformes concurrentes.

Les chiffres de croissance sont éloquents. RansomHub a revendiqué 531 nouvelles victimes en 2024, représentant 9,8 % de l'ensemble des cas de Ransomware suivis dans le monde, ce qui en fait le groupe le plus dominant de l'année. Son volume d'attaques a bondi de 66 % au second semestre 2024. En septembre 2024 seulement, RansomHub a listé 66 victimes en un mois et représenté 16 % de toutes les attaques Ransomware du troisième trimestre. Les cibles couvraient les systèmes d'eau et d'assainissement, les installations gouvernementales, la santé, la fabrication critique, les services financiers, les transports et les infrastructures de communication. Parmi les victimes notables : Frontier Communications, la maison de ventes aux enchères britannique Christie's et Halliburton.

La domination de RansomHub s'est avérée éphémère. Le 31 mars 2025, son site en oignon a disparu et son portail client s'est mis hors ligne le lendemain. Rapid7 a confirmé un arrêt complet des opérations début avril 2025, les affiliés migrant vers DragonForce et LockBit. DragonForce a ensuite prétendu avoir pris le contrôle de l'infrastructure de RansomHub.

La phase de fragmentation et la nouvelle consolidation

Les effondrements successifs de LockBit, BlackCat et RansomHub ont créé un marché d'affiliés chaotique. Le nombre de groupes de Ransomware divulgués publiquement est passé de 79 en avril 2023 à 96 en avril 2025, avec 52 nouveaux groupes apparus en une seule année. D'ici 2025, un record de 124 groupes distincts portant un nom avaient été observés à l'état actif. Les groupes plus petits sont plus difficiles à démanteler : ils se rebaptisent rapidement, l'attribution devient complexe et aucune action isolée n'a d'impact démesuré.

Deux groupes se sont engouffrés résolument dans le vide du pouvoir. Qilin (également suivi sous le nom Agenda), actif depuis 2022 avec des builds multiplateformes en Golang et Rust ciblant Windows, Linux et VMware ESXi, a enregistré une augmentation de 408 % de ses attaques tout au long de 2025 et est devenu le principal groupe de Ransomware en juin 2025. Les affiliés perçoivent 80 à 85 % des produits des rançons. Parmi les affiliés notables figurent FIN12 et Scattered Spider (Octo Tempest). Suite à la fermeture de RansomHub en avril 2025, un nombre significatif de ses affiliés a migré vers Qilin. Le groupe a même introduit un service de « journaliste » maison pour les billets de blog de son site de fuite — largement estimé être généré par un LLM — ainsi qu'une fonction de support affiliés baptisée « Call Lawyer ».

DragonForce, actif depuis août 2023 et partageant une filiation avec LockBit Green à travers le code source divulgué de Conti v3, s'est rebaptisé en mars 2025 en tant que « cartel ». Son modèle permet aux affiliés d'opérer sous leurs propres marques tout en tirant parti de l'infrastructure, des outils et du support de DragonForce. Le groupe offre 80 % des bénéfices aux affiliés et a répertorié plus de 200 victimes dans la distribution, les compagnies aériennes, l'assurance et les fournisseurs de services managés. Il s'est associé à Scattered Spider et cible activement l'infrastructure des groupes rivaux pour asseoir sa domination.

Au premier trimestre 2026, Check Point Research a observé une tendance à la consolidation inversant la fragmentation : les 10 premiers groupes ont commencé à capter une part plus importante des victimes suivies, Qilin, Akira et LockBit 4.0/5.0 absorbant les affiliés déplacés à grande échelle. Le total des incidents mondiaux de Ransomware devrait dépasser 12 000 en 2026 aux rythmes actuels.

Enseignements pour les défenseurs

• Imposer le MFA sur chaque portail d'accès à distance, sans exception. La brèche de Change Healthcare a débuté par un endpoint Citrix dépourvu de MFA. Cette seule défaillance de contrôle a coûté à UnitedHealth Group plus de 2 milliards de dollars et compromis les dossiers de 190 millions de patients.
• Ne pas supposer que la fermeture d'un groupe neutralise sa menace. LockBit s'est reconstruit deux fois après des perturbations majeures. Les affiliés de BlackCat et RansomHub ont migré vers de nouvelles plateformes en quelques semaines. Les abonnements à la threat intelligence doivent suivre la migration des affiliés, pas seulement les groupes nommés.
• Segmenter et tester en continu l'intégrité des sauvegardes. RansomHub et Qilin ciblent spécifiquement les hôtes ESXi pour détruire les sauvegardes virtualisées. Les procédures de récupération isolées et testées restent la mesure de mitigation du Ransomware la plus efficace.
• Surveiller le modèle cartel. Le système de marque affilié de DragonForce signifie que des attaques attribuées à des marques inconnues peuvent partager infrastructure, outils et tactiques avec des opérateurs bien documentés. Traiter les noms de Ransomware inconnus comme potentiellement affiliés à un cartel jusqu'à preuve du contraire.
• Le risque de concentration chez des tiers est désormais une question de conseil d'administration. Le rôle de Change Healthcare dans le traitement d'un tiers des dossiers patients américains a transformé une seule infection Ransomware en crise sanitaire nationale. La cartographie de la chaîne d'approvisionnement et les exigences de résilience des fournisseurs ne sont plus facultatives pour les secteurs d'infrastructures critiques.