Le paiement de rançon moyen double en un seul trimestre

Les paiements de rançon ont grimpé en hausse des sommets sans précédent ce trimestre, tirés par une forte augmentation des campagnes sophistiquées d'ingénierie sociale.

Les nouvelles données de Coveware by Veeam révèlent que la demande de rançon moyenne a grimpé à 1,13 million de dollars, soit une augmentation de 104% par rapport au premier trimestre. Le paiement médian a également presque doublé, atteignant 400 000 $.

Cette pointe a été principalement alimentée par des entreprises plus grandes victimes des attaques axées uniquement sur l'exfiltration des données, plutôt que sur le cryptage de fichiers.

Le rapport souligne que le vol de données a maintenant dépassé le chiffrement comme la principale tactique de l'extorsion, avec le vol de données impliqué dans 74% de tous les incidents de ransomware. De plus, les stratégies d'extorsion à plusieurs volets et l'activation des menaces retardées deviennent de plus en plus courantes.

"Le deuxième trimestre de 2025 représente un changement pivot dans les tactiques de ransomwares, avec l'ingénierie sociale ciblée et l'exfiltration des données occupant le devant de la scène", a déclaré Bill Siegel, PDG de Coveware by Veeam.
«Les cybercriminels ne visent plus simplement vos sauvegardes - ils ciblent vos employés, vos workflows et l'intégrité même de vos données.»

Les souches de ransomware les plus répandues de ce trimestre étaient Akira (19%), Qilin (13%) et Lone Wolf (9%). Notamment, la rançon silencieuse et les chasseurs brillants ont fait leurs débuts dans le top cinq.

Les groupes de ransomwares se déplacent vers des attaques de précision

Les menaces les plus dangereuses ont émergé des opérations d'ingénierie sociale dirigés par trois collectifs clés de ransomwares: araignée dispersée, rançon silencieuse et chasseurs brillants.

Ces groupes se sont éloignés des attaques larges et opportunistes en faveur d'intrusions très ciblées, tirant parti des techniques d'identité avancées pour tromper les bureaux d'aide, le personnel et les fournisseurs tiers.

Ils exploitent fréquemment des défauts de sécurité dans des systèmes largement déployés tels que Ivanti, Fortinet, VMware et Windows - le lancement des attaques peu de temps après que les vulnérabilités soient rendues publiques.

Dans le même temps, les attaquants de «loup solitaire» utilisant des kits d'outils de ransomware sans marque et sans marque se développent en nombre, permettant aux acteurs de menace encore moins qualifiés d'infiltrer les réseaux d'entreprise.

Menaces d'initiés en augmentation

Le risque posé par les initiés et l'accès tiers a augmenté au cours du trimestre, en particulier les partenaires de l'externalisation des processus commerciaux (BPO), les entrepreneurs et les fournisseurs de soutien informatique.

«Ces entités externes possèdent souvent des droits d'accès élevés mais ne relèvent pas de la portée de la surveillance de la sécurité primaire, ce qui en fait des objectifs privilégiés pour abus d'identification ou ingénierie sociale», prévient le rapport.

Le secteur des services professionnels a été le plus touché, représentant 20% des attaques, suivi des services de santé et des services de consommation, chacun à 14%.

Les organisations de 11 à 1 000 employés représentaient 64% de toutes les victimes - ce que les chercheurs décrivent comme le solde idéal entre le potentiel de paiement et les défenses de sécurité plus faibles.

Avant d'exfiltration ou de cryptage des données, les attaquants investissent du temps dans la reconnaissance: cartographie des réseaux internes, des actifs de numérisation et des ensembles de systèmes ou de données de grande valeur. Cette phase utilise souvent des outils administratifs légitimes ou des commandes de système d'exploitation natives, ce qui rend la détection difficile sans analyse contextuelle profonde.

Cependant, si elle est capturée tôt - par la surveillance d'un comportement de dénombrement inhabituel ou le déploiement de techniques de tromperie comme les fausses références, les files de miel ou les infrastructures leurres - cette étape peut servir d'alerte précoce critique.

«Les entreprises doivent renforcer les protections de l'identité, stimuler la formation des employés et traiter l'exfiltration des données comme une menace de haut niveau, pas une préoccupation secondaire», a souligné Siegel.

Assurez-vous de suivre PHP.CN sur Google News pour une couverture continue des dernières nouvelles technologiques, des analyses approfondies et des critiques d'experts.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!