Anti-Ransomware Day 2026 : The Gentlemen pulvérise le marché

Ce qui s'est passé

Kaspersky a publié le 12 mai 2026, à l'occasion de l'International Anti-Ransomware Day, son rapport annuel sur l'état mondial du rançongiciel. Le document, attendu chaque année par les RSSI et les CERTs, dresse une cartographie inédite de l'écosystème. Premier constat : la part d'entreprises ayant détecté une attaque rançongiciel sur leur périmètre a légèrement reflué en Europe (3,82 %) mais explose en Amérique latine (8,13 %), en Asie-Pacifique (7,89 %) et en Afrique (7,62 %). Le pivot géographique des affiliés ransomware vers les économies émergentes — où la maturité défensive et la pression policière restent plus faibles — se confirme.

Sur le terrain des groupes, le rapport entérine une recomposition rapide. Qilin s'est imposé comme nouvel acteur dominant du modèle ransomware-as-a-service après le démantèlement de RansomHub en 2025. Le groupe revendiquerait à lui seul plus de 280 victimes au premier trimestre 2026, attirant à son programme d'affiliation un nombre croissant d'anciens membres de LockBit, ALPHV et RansomHub. Cl0p conserve la deuxième place grâce à sa stratégie d'exploitation massive de vulnérabilités managed file transfer — la lignée MOVEit, GoAnywhere, CrushFTP, Cleo. Akira, troisième, capitalise sur sa porte d'entrée historique : les VPN SonicWall et Cisco non patchés.

La grande surprise vient cependant de The Gentlemen. Inconnu il y a un an, le groupe pointait à zéro victime en août 2025. Au premier trimestre 2026, il en revendique 166, ce qui le place à la troisième position globale en volume. Selon les analystes Kaspersky, sa trajectoire fulgurante s'explique par trois choix stratégiques : l'achat massif d'accès auprès des initial access brokers, le refus assumé du ciblage centré États-Unis pour viser Brésil, Inde, Indonésie et Mexique, et la pratique du « extorsion-only » — vol de données sans chiffrement. Le groupe pratique des rançons modestes (200 000 à 500 000 dollars) mais avec un taux de paiement supérieur à la moyenne.

Cette logique extorsion-only progresse partout. Kaspersky note que 30 % des incidents observés au T1 2026 n'incluent plus aucune phase de chiffrement : les attaquants se contentent d'exfiltrer puis de menacer de publier ou de revendre. Les motivations sont simples. Le chiffrement génère du downtime visible, déclenche les plans de continuité et appelle souvent les forces de l'ordre. L'extorsion pure reste discrète, laisse à la victime la possibilité de négocier sans interruption opérationnelle, et ne nécessite pas de loader chiffrant — moins de code, moins d'artefacts forensiques, moins de chance d'être identifié par les EDR.

Le rapport documente aussi l'irruption de la cryptographie post-quantum chez les opérateurs ransomware. Plusieurs souches récentes — dont une nouvelle variante de Lockbit dérivée, ainsi qu'un loader signé « FrostBite » — intègrent désormais ML-KEM (Kyber) et ML-DSA (Dilithium), les standards post-quantum retenus par le NIST. L'objectif est double : se prémunir contre une éventuelle attaque cryptanalytique de grande puissance qui révélerait la clé de chiffrement utilisée, et opposer aux chercheurs forensiques un défi additionnel lors des tentatives de récupération de fichiers via faiblesse algorithmique.

Sur le plan de l'infrastructure criminelle, Kaspersky salue plusieurs succès des forces de l'ordre. Le forum underground RAMP, l'un des marchés majeurs de la cybercriminalité russophone, a été saisi en janvier 2026 dans le cadre d'une opération conjointe FBI, NCA et BKA. Deux mois plus tard, en mars, LeakBase, plateforme de distribution de fuites massives, a subi le même sort. Côté Telegram, plusieurs canaux historiques ont été suspendus, parmi lesquels « Cl0p^_- LEAKS » et plusieurs chaînes affiliées à Lapsus$. La fragmentation actuelle de la scène ransomware résulte autant de ces démantèlements que des conflits internes entre opérateurs et affiliés.

Le rapport pointe enfin la tendance « identity-first ». 71 % des intrusions observées en 2026 commencent désormais par un vol d'identifiants — phishing AiTM, infostealer, achat sur Russian Market — plutôt que par l'exploitation directe d'une vulnérabilité. Le Remote Desktop Web Access (RDWeb) reste la voie privilégiée pour le rebond initial, en particulier dans les ETI et grands comptes ayant migré partiellement vers le cloud sans assainir leur exposition d'accès distant historique. L'usage massif d'EvilProxy, Tycoon 2FA, Mamba 2FA pour le contournement MFA hisse cette catégorie d'outils au rang d'arme principale du ransomware moderne.

La France n'est pas épargnée. Selon les chiffres consolidés par l'ANSSI et le CERT-FR cités dans le rapport, 367 incidents ransomware confirmés ont été traités en France entre janvier et avril 2026, soit une légère hausse par rapport à la même période 2025. Les secteurs santé, collectivités territoriales et industrie 4.0 concentrent plus de 60 % des cas. Les TPE-PME restent les premières victimes en volume, mais les pertes financières moyennes par incident s'établissent à 380 000 euros — un montant en hausse de 22 % sur un an.

Pourquoi c'est important

La bascule vers l'extorsion sans chiffrement reconfigure profondément la posture défensive. Les contrôles centrés sur la détection de chiffrement massif — Canary files, sentinelles EDR sur les écritures séquentielles, snapshots immuables — restent utiles mais ne suffisent plus. L'attention doit désormais se porter sur la détection d'exfiltration : DLP réseau, baselines de transfert sortant, surveillance des destinations cloud légitimes détournées (Mega, Bashupload, Telegram), trafic vers les pastebins et anonymizers. Un attaquant qui ne chiffre pas n'attire pas l'œil d'un SOC encore calibré sur les indicateurs classiques de rançongiciel.

L'adoption de la cryptographie post-quantum côté offensif anticipe par ailleurs un mouvement défensif désormais inévitable. Les recommandations conjointes ANSSI-BSI-NCSC publiées début 2026 imposent aux opérateurs de services essentiels une feuille de route de transition crypto-agile à horizon 2030. Le fait que les opérateurs ransomware déploient déjà ces algorithmes envoie un signal clair : la maturité de l'outillage est suffisante, plus aucune raison technique ne justifie de différer le projet post-quantum côté défense.

Sur le volet géographique, le pivot vers l'Amérique latine et l'Asie-Pacifique mérite une attention particulière des groupes multinationaux français. De nombreuses filiales locales — souvent plus petites, parfois moins bien équipées — deviennent des points d'entrée privilégiés vers la maison mère via les annuaires fédérés et les tenants Azure partagés. La doctrine zero trust appliquée aux filiales étrangères, l'isolation des forêts AD régionales et la limitation des droits inter-tenants Entra ID redeviennent des chantiers prioritaires pour les RSSI groupe.

Enfin, la saisie de RAMP et LeakBase, combinée à la fragmentation des grands programmes RaaS, ouvre une fenêtre tactique. Selon le CERT-FR, l'effet immédiat est une recomposition rapide chez les affiliés, avec une multiplication des nouveaux groupes éphémères — moins disciplinés, parfois moins compétents, mais plus opportunistes. Pour les défenseurs, cela signifie davantage d'erreurs offensives exploitables, mais aussi une plus grande variance dans les tactiques observées. Les playbooks d'incident response devront s'élargir au-delà des TTPs des familles établies, et intégrer une veille spécifique sur les nouveaux entrants — The Gentlemen, FrostBite, Trinity, Funksec, Apos.

Ce qu'il faut retenir

• 30 % des attaques ransomware T1 2026 sont des extorsions pures sans chiffrement — la détection d'exfiltration devient prioritaire devant la détection de chiffrement massif.
• Cryptographie post-quantum déjà adoptée par les opérateurs offensifs (ML-KEM, ML-DSA) : la transition côté défense ne peut plus attendre 2030.
• 71 % des intrusions partent désormais d'un vol d'identifiants : MFA résistant au phishing (FIDO2, passkeys) et durcissement RDWeb sont les chantiers à prioriser cette année.