Ces derniers mois, une vérité inconfortable a de nouveau été révélée : l'écosystème du Ransomware a été professionnalisé pour ressembler à une industrie au service du crime. Un exemple récent et particulièrement frappant est l'opération connue sous le nom de The Gentlemen, un service de type Ransomware (RaaS) qui, depuis son apparition en juillet 2025, a grimpé rapidement et sophistiqué pour fonctionner à grande échelle.
Les enquêteurs de sécurité ont détecté que des acteurs liés à The Gentlemen ont essayé de déployer un proxy malveillant connu appelé SystèmeBC. La firme Check Point Research a constaté que le serveur de commande et de contrôle (C2) associé à SystemBC permettait de découvrir un botnet qui affecte plus de 1 570 réseaux d'entreprise. Système BC n'est pas une simple porte arrière : il place les tunnels SOCKS5 dans l'environnement compromis et communique avec son C2 au moyen d'un protocole chiffré avec RC4, ainsi que de pouvoir télécharger et exécuter des charges utiles qui peuvent être écrites sur disque ou injectées directement dans la mémoire. Ces détails sont inclus dans l'analyse des entreprises et des publications de l'industrie, y compris les notes publiques des fabricants de produits de sécurité. (Check Point Research)
La polyvalence de The Gentlemen explique en partie son expansion : elle fonctionne sous un schéma de double extorsion et a montré la capacité d'affecter les environnements Windows, Linux, NAS et BSD. Son chiffrement est développé à Go et le groupe combine des outils légitimes - tels que les conducteurs falsifiés - avec ses propres utilitaires malveillants pour échapper aux contrôles. La chaîne habituelle d'intrusion commence par l'accès initial qui, pour l'instant, n'est pas entièrement clarifié: tout indique l'abus de services exposés à Internet ou de titres de compétence engagés. De là, ils effectuent la reconnaissance interne, le mouvement latéral, la mise en place de charges telles que Cobalt Strike ou SystemBC, les techniques d'évitement et enfin le déploiement du ransomware.
Une caractéristique dangereusement efficace est l'exploitation d'objets de directive de domaine (GPO) pour répandre les changements d'échelle dans les réseaux d'entreprise et atteindre un engagement massif en un seul coup. De plus, des recherches menées par d'autres fournisseurs ont permis de documenter comment les opérateurs des Gentlemen adaptent leurs outils et tactiques aux défenses détectées dans chaque victime, ce qui implique une phase de reconnaissance profonde et de modifications logicielles pour traiter des solutions de sécurité spécifiques. (Tendance Micro)
Dans le cas observé par Check Point, une filiale a déployé SystemBC dans un hôte engagé et C2 lié à ce proxy contrôlait des centaines de victimes dans le monde entier, avec des incidents signalés aux États-Unis, au Royaume-Uni, en Allemagne, en Australie et en Roumanie. Bien que SystemBC soit connu sur la scène de la cybercriminalité depuis 2020, il n'est pas clair dans quelle mesure il fait partie du script standard de The Gentlemen ou s'il a été utilisé par une filiale spécifique pour les tâches d'exfiltration et d'accès à distance dans cette campagne.
Le modus operandi pendant le mouvement latéral révèle une approche méthodique pour neutraliser les défenses : les attaquants poussent les scripts PowerShell qui tentent de désactiver la protection en temps réel de Windows Defender, ajoutent des exclusions étendues pour les disques et les processus, éteignent le pare-feu, réactivent SMBv1 et détendent les contrôles d'accès anonymes du sous-système LSA, le tout avant de déployer le binaire de chiffrement dans la machine distante. Ces actions montrent une intention claire de laisser le terrain aussi propre que possible pour un cryptage continu.
Lorsque la victime est un serveur VMware ESXi, la variante Ransomware est simplifiée dans les fonctionnalités, mais elle intègre des actions spécifiques pour les environnements virtualisés : elle coupe les machines virtuelles pour faciliter l'impact, elle persiste par les tâches programmées de type crontab et exécute des étapes pour empêcher la récupération avant le chiffrement. Cette spécialisation entre les variantes Windows et ESXi est une tendance que nous voyons de plus en plus chez les opérateurs qui veulent maximiser les dommages aux infrastructures critiques.
Selon l'un des chercheurs qui a accédé aux serveurs opérationnels du groupe, l'architecture commerciale de The Gentlemen fait partie du succès : ils ont réussi à attirer des affiliés en leur offrant des conditions plus avantageuses que la concurrence, et ce qui est ressorti de l'analyse interne était un réseau de plus de 1 570 réseaux d'entreprises engagés qui n'étaient pas encore apparus sur les listes publiques de victimes. Ce chiffre suggère que l'ampleur réelle de l'opération dépasse de loin ce qui est connu à la surface.
Pendant ce temps, d'autres acteurs et familles Ransomware continuent d'évoluer. La société Rapid7 a documenté l'apparition de Kyber, une famille relativement nouvelle qui est devenue publique en septembre 2025 et qui pointe à la fois sur Windows et VMware ESXi infrastructure. Kyber utilise des chiffrements écrits par Rust pour la variante Windows et C + + pour la variante ESXi-attacking; cette dernière inclut des capacités de chiffrement des données, l'achèvement optionnel des machines virtuelles et même la déformation des interfaces de gestion, qui montre une tendance vers la spécialisation de la plate-forme plutôt que la complexité inutile. (Rapid7)
Les données ajoutées par plusieurs observateurs montrent que la pression des attaques ne fait pas référence à : selon les compilations d'incidents, au cours du premier trimestre de 2026, au moins 2 059 incidents de ransomware et d'extorsion numérique ont été enregistrés, avec mars comme mois de pointe et plus de 700 événements. Les groupes les plus actifs de cette période étaient Qilin, Akira, The Gentlemen, INC Ransom et Cl0p. Un aspect frappant dans le cas des Gentlemen est la variation régionale de ses victimes : dans les trimestres précédents, le pourcentage des cibles en Amérique du Nord variait considérablement, ce qui rompait avec les modèles habituels des autres collectifs d'extorsion numérique. (ZeroFox)
Les rapports plus larges sur l'évolution du Ransomware indiquent une maturation du phénomène : il est devenu un mécanisme criminel orienté vers l'entreprise, avec des chaînes d'approvisionnement partagées, une spécialisation du rôle et une régénération rapide après les interventions policières. Les analystes de l'industrie ont décrit des tendances telles que les tentatives d'annulation des solutions de détection et de réponse de pointe, la réutilisation des conducteurs vulnérables en tant que vecteur d'escalade (Bring Your Own Vulnerable Driver), la diffusion entre les campagnes d'État et les campagnes criminelles et une plus grande concentration sur les PME et les environnements technologiques opérationnels. Le secteur automobile, par exemple, a doublé le nombre d'incidents en 2025 et a concentré une partie importante des incidents signalés dans ce domaine. (CISA)
Un autre fait inquiétant est que le temps de séjour de l'agresseur dans les réseaux (temps de repos) a été considérablement réduit: de nombreuses intrusions sont orchestrées et courent pendant les nuits et les week-ends pour gagner de la vitesse et soustraire la capacité de réponse de l'équipe de sécurité. Un pourcentage élevé de tentatives sont faites dans des bandes où la supervision est plus faible, et certains acteurs comme Akira ont démontré la capacité de grimper de la première intrusion au chiffrement complet dans une heure dans certains scénarios.
Compte tenu de ce scénario, la recommandation à l'intention des équipes de sécurité et des responsables de l'informatique est prospective et pratique : renforcer l'exposition des services à Internet, appliquer l'authentification multifactorielle et la rotation des références, aux réseaux segmentés pour limiter la portée du mouvement latéral, surveiller et limiter les changements dans les GPO, maintenir des sauvegardes hors ligne et validées et, essentiellement, avoir des stratégies d'intervention rapide qui envisagent la détection de nuit et de fin de semaine. De plus, il est essentiel d'appliquer les guides et les ressources publiés par les organismes officiels et les fournisseurs de services de sécurité pour renforcer les paramètres et les environnements virtualisés. (Microsoft Security)
La réalité est que nous sommes confrontés à des rivaux qui fonctionnent comme des entreprises : ils rivalisent pour les filiales, se spécialisent en outils selon l'objectif et optimisent les processus pour causer le maximum de dommages dans le plus court laps de temps. La connaissance de leurs tactiques et l'application des défenses correspondantes ne garantissent pas l'immunité, mais elle réduit la surface de l'attaque et la probabilité de devenir la prochaine victime se répand dans une liste publique d'extorsion. Pour ceux qui veulent approfondir la recherche publique et les recommandations, les rapports des équipes d'intervention et les publications des fabricants demeurent une source essentielle de renseignements. (Les nouvelles de Hacker) Il offre également une couverture continue qui synthétise les constatations et les mises à jour en temps réel.
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...
Clé jaune L'échec BitLocker qui pourrait permettre à un attaquant de déverrouiller votre unité avec seulement un accès physique
Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement...