La semaine du 26 au 30 décembre 2025 a été marquée par une explosion d’attaques ransomware pendant les fêtes, avec au moins 15 nouvelles victimes publiées sur des sites de fuite en 48 heures seulement. Des groupes comme Qilin, Akira et The Gentlemen ont profité des équipes réduites pour frapper des secteurs critiques comme l’énergie et la fabrication.
Alors que les organisations mettaient leurs systèmes en veille pour les fêtes de fin d’année, les cybercriminels ont accéléré leurs opérations. Entre le 26 et le 28 décembre 2025, ransomware.live et d’autres trackers ont recensé 63 nouvelles victimes le 26 décembre seul, avec une concentration sur les services professionnels et la manufacturing. Cette « surge post-holiday » illustre un pattern récurrent : les attaquants exploitent les squelettes d’équipes IT et les temps de réponse allongés pour maximiser les impacts.
Analyse Technique des Attaques
Qilin, leader 2025 avec plus de 1 000 victimes, a visé Bangchak Corporation (Thaïlande), un géant pétrolier, et Questica (Canada), via double extorsion : exfiltration de données suivie de chiffrement. Le groupe utilise un modèle RaaS (Ransomware-as-a-Service) russe, avec chiffrement rapide et evasion EDR via outils custom.
The Gentlemen, émergé en juillet 2025 avec 48+ victimes en deux mois, se distingue par son sophistication : exploitation de ThrottleStop.sys (CVE-2025-7771) pour bypasser les détections, support cross-platform (Windows/Linux/ESXi), et propagation via WMI/PowerShell sur shares réseau. Ils abusent des GPO Active Directory pour déploiement domain-wide, enumèrent comptes via scripts batch (ex. 1.bat scanne 60+ users), et exfiltrent via WinSCP chiffré.
Akira, avec 250+ attaques et 244M$ de rançons, a ciblé l’infrastructure critique US comme Agralite Electric (136GB volés) via Cisco VPN et mots de passe faibles, évoluant vers Akira_v2 pour un chiffrement plus rapide sur Nutanix AHV.
Impacts sur les Secteurs Cibles
Les attaques ont touché énergie (Bangchak, Agralite), manufacturing et santé, avec 55% des victimes US et 50% d’augmentation YoY (7 902 vs 6 129 en 2024). Perturbations opérationnelles, fuites des données personnelles / données clients, et pressions financières s’accumulent ; Qilin seul représente 29% des incidents récents.
Recommandations de Défense
Priorisez les audits logs d’authentification durant la période des fêtes, de la MFA sur VPN/RDP, et scans IOC (ex. ThrottleStop.sys, GPO mods). Implémentez 24/7 MDR, testez backups offline, et simulez scénarios holiday via tabletop exercises. Patchez CVE-2025-7771 immédiatement et segmentez l’AD pour limiter les mouvements latéraux. Adoptez Zero Trust pour le remote access, en ligne avec CISA CPG 2.0.
Cette vague ransomware post-fêtes confirme 2025 comme année record, avec des groupes comme The Gentlemen innovant en evasion et cross-platform. Les organisations doivent renforcer leur résilience pour 2026, où l’IA risque d’accélérer ces menaces.
No responses yet