Plus de 120 marques de ransomware actives en une seule année. C’est le constat qui ouvre l’édition 2026 de l’Internet Organised Crime Threat Assessment (IOCTA), l’évaluation annuelle d’Europol sur le cybercrime organisé, publiée fin avril 2026 sous le titre « How encryption, proxies and AI are expanding cybercrime ». Le rapport couvre l’année 2025 et dresse un état des lieux qui sert de référence aux forces de l’ordre du continent. Trois mouvements de fond le structurent : une fragmentation extrême du marché ransomware, le basculement de l’extorsion vers la menace de publication des données, et l’apparition de coalitions entre groupes criminels jusque-là distincts.
Plus de 120 marques actives : un marché fragmenté et instable
En 2025, Europol a observé plus de 120 marques de ransomware actives, un chiffre qui traduit le fractionnement extrême du marché. Le rapport décrit un environnement marqué par une volatilité extrême, alimenté par la concurrence entre acteurs, les conséquences des interventions policières et la disponibilité de nouveaux outils techniques. Le paradoxe est net : l’écosystème n’a jamais été aussi atomisé, mais ceux qui en profitent le mieux sont les opérateurs capables d’absorber les affiliés déplacés par les démantèlements. La prolifération des codebases de ransomware ayant fuité (Conti, LockBit, Black Basta), la multiplication des plateformes RaaS prêtes à l’emploi et les outils d’assemblage de code assistés par IA ont abaissé la barrière à l’entrée au point de permettre à presque n’importe qui de lancer une variante. Mais peu de ces entrants survivent : la plupart des opérations restent éphémères et opèrent sous une nouvelle marque en quelques semaines. Le rapport relève d’importants chevauchements entre administrateurs et affiliés d’un groupe à l’autre, ainsi qu’une mutualisation des infrastructures de proxy et de blanchiment. C’est cette porosité qui rend les rebrands aussi rapides et l’attribution aussi difficile.
Les données du premier trimestre 2026, postérieures à la période couverte par l’IOCTA, dessinent un mouvement qui s’inverse. Check Point Research, qui surveille les sites de fuite (DLS), constate que l’écosystème « a décisivement changé de direction » : le nombre de groupes actifs est redescendu de 85 au pic du troisième trimestre 2025 à 71 au premier trimestre 2026, et, si 21 nouveaux noms sont apparus, la plupart ont signalé moins de 10 victimes. Les dix premiers groupes de ransomware concentrent à nouveau 71,1 % des victimes publiées, contre 57 % au pic de fragmentation. La reconsolidation se fait autour d’acteurs dominants, : Qilin en tête avec 338 victimes, suivi de d’Akira, The Gentlemen et d’un LockBit 5.0 de retour. Ils ont à eux seuls revendiqué 41 % de l’ensemble des victimes du trimestre et Qilin a même enregistré plus de victimes que les 50 groupes les moins performants réunis. Check Point Research décrit « un schéma récurrent tout au long de l’histoire de l’écosystème : les actions des forces de l’ordre perturbent le marché des ransomwares, les affiliés se dispersent, et les survivants qui échappent à ces perturbations absorbent le vivier de talents déplacés et se développent ».
La taxonomie Europol : trois niveaux de groupes ransomware
L’IOCTA 2026 propose une classification en trois niveaux des groupes ransomware, basée sur leur barrière à l’entrée, leur sophistication technique et leur modèle de recrutement.
Les programmes d’affiliation publics (open RaaS) sont ouverts à presque tous. Ils fournissent un kit complet : assembleur de malware, botnets de distribution, outils de persistance et de surveillance des victimes, infrastructure d’exfiltration et de blanchiment, services de négociation et hébergement du site de fuite. L’administrateur prélève un pourcentage de chaque paiement. Qilin en est l’archétype : Europol le rattache à l’ancien groupe Conti, le décrit comme ayant intégré des capacités DDoS pour augmenter la pression et travaillant à l’automatisation des attaques sur les VPN SSL Fortinet, et relève qu’il propose à ses affiliés 80 à 85 % du montant des rançons. Akira, issu lui aussi de Conti, est actif depuis mars 2023 et a maintenu un rythme soutenu en 2025, en étendant ses capacités aux environnements virtualisés grâce à des vulnérabilités SonicWall.
Les groupes semi-fermés recrutent de façon sélective sur les forums, en cherchant des affiliés à la fois compétents et de confiance. Fog, détecté début 2024, adopte une architecture modulaire qui permet de paramétrer la portée du chiffrement, le contenu de la note de rançon et d’autres aspects de l’attaque selon la cible. Black Basta, autre ramification de Conti, fonctionnait ainsi avant qu’une fuite de ses journaux internes en 2025 n’expose ses templates de phishing, ses adresses crypto et ses identifiants de victimes. Son site de fuite est inactif depuis, mais les membres impliqués poursuivent vraisemblablement leur activité sous une autre marque, conformément au schéma de rebrand décrit par Europol.
Les groupes fermés forment la catégorie la plus résiliente avec un minimum de dépendance envers l’écosystème CaaS (Crime-as-a-service) : ils développent leur propre malware, parfois leurs propres exploits, opèrent sur des canaux cloisonnés et hébergent leur infrastructure. Cl0p en est en est l’archétype : il a resurgi en 2025 avec son exploitation systématique de vulnérabilités zero-day (notamment avec la faille Oracle EBS, qui a touché des centaines d’entreprises). Play , lui, est resté actif en 2025 en ciblant les infrastructures critiques avec la double extorsion comme mode opératoire principal.
Ces trois niveaux ne forment pas des compartiments étanches. L’IOCTA relève que les administrateurs et les affiliés circulent d’un groupe à l’autre, que les infrastructures sont mutualisées et que les groupes changent de catégorie au fil du temps. BlackBasta, semi-fermé hier, se rebrand aujourd’hui ; des affiliés de programmes publics rejoignent des opérations fermées quand l’opportunité se présente. C’est cette fluidité qui rend la taxonomie utile comme grille de lecture mais insuffisante comme outil de prédiction.
Une coalition DragonForce, LockBit et Qilin annoncée sur le dark web
En septembre 2025, une coalition réunissant DragonForce, LockBit et Qilin a été annoncée sur le dark web. DragonForce, groupe principalement russophone actif depuis 2023, assemble ses payloads à partir des codebases leakés de Conti et de LockBit et a lancé un service d’extorsion sur mesure (analyse des données volées, scripts d’appel, lettres de pression) en prélevant une commission de 20 % sur chaque rançon. Le groupe fonctionne sur un modèle de marque blanche : il fournit l’infrastructure et les outils, les affiliés opèrent sous leur propre nom.
Les données du premier trimestre 2026 tempèrent toutefois ce récit. Selon Check Point Research, plusieurs sous-marques associées au projet ont décliné ou disparu, et « la narration plus large du cartel semble relever davantage du marketing que de la réalité opérationnelle ». Le retour de LockBit, en revanche, est tangible : après le démantèlement opéré lors de l’Opération Cronos en février 2024, le groupe a lancé LockBit 5.0 en septembre 2025 avec un support multi-plateforme, un anti-forensique renforcé, un chiffrement accéléré et un dépôt d’entrée d’environ 500 dollars en Bitcoin. Check Point enregistre 163 victimes au premier trimestre 2026, soit une hausse de 106 % par rapport au trimestre précédent, avec une diversification géographique marquée : la part des victimes américaines tombe sous les 21 %, au profit de l’Italie, du Brésil et de la Turquie.
L’alliance Scattered LAPSUS$ Hunters et la convergence des extorsionnistes anglophones
À côté des programmes RaaS structurés, l’IOCTA 2026 consacre une section au phénomène le plus atypique de l’année : la formation, en août 2025, de l’alliance Scattered LAPSUS$ Hunters (SLSH), qui réunit Scattered Spider, ShinyHunters et LAPSUS$. Ces collectifs, principalement anglophones, partageaient déjà des antécédents communs : fraude en ligne, SIM swapping, ingénierie sociale de haut niveau, recrutement d’insiders et campagnes d’extorsion contre de grandes entreprises et des prestataires de santé.
Europol relève un trait de comportement spécifique à certains membres de SLSH : un harcèlement et des menaces persistants, « qui ne cessent pas nécessairement, même après que les victimes ont versé la rançon ». Le paiement n’éteint donc pas nécessairement la pression. ShinyHunters, la composante du collectif spécialisée dans l’exfiltration de données, a siphonné en mai 2025 plus d’un milliard de fichiers issus de bases clients Salesforce en trompant des employés pour qu’ils connectent une application malveillante au portail Salesforce de leur organisation. La même mécanique, ingénierie sociale et kits de phishing contournant l’authentification multifacteur, se retrouve dans la campagne de vishing SSO de ShinyHunters et la revendication du piratage de la Commission européenne.
L’extorsion bascule du chiffrement vers la menace de publication
La tendance la plus structurante du rapport concerne le modèle même de l’extorsion. Comme le formule Europol : « L’objectif de l’extorsion n’est plus de déverrouiller (décrypter) les données, mais de faire pression sur les victimes pour qu’elles paient afin d’éviter que celles-ci ne soient divulguées (leaked). » La raison est pragmatique, et le rapport l’énonce directement : « Les entreprises modernes sont généralement mieux préparées à faire face aux conséquences d’une perte de données (cryptées ou effacées) qu’à celles d’une divulgation. » Les sauvegardes et la récupération des données corrompues peuvent résoudre la continuité opérationnelle, mais elles ne couvrent ni l’exposition réglementaire ni l’atteinte à la réputation.
Ce basculement est confirmé par les chiffres de paiement, comme le montre la synthèse des paiements de ransomware en 2025 : selon Kaspersky et Chainalysis, seulement 28 % des victimes identifiées ont payé en 2025, un plus bas historique, et les paiements on-chain ont reculé à environ 820 millions de dollars (moins 8 % sur un an). Pour optimiser la pression sans recourir au chiffrement, les groupes empilent les leviers : attaques DDoS simultanées, saturation des boîtes mail professionnelles et appels téléphoniques directs aux dirigeants. Ces tactiques de pression sont courantes dans l’arsenal des groupes ransomware et sont parfois proposées comme services distincts au sein de l’écosystème CaaS, selon Europol.
L’extorsion sans chiffrement (pure data theft) pousse cette logique à son terme : les attaquants exfiltrent les données et menacent de les publier, sans jamais chiffrer le moindre système. Kaspersky cite ShinyHunters comme exemple type de groupe ayant abandonné le chiffrement pour se concentrer exclusivement sur l’exfiltration. L’affaire Canvas / Instructure de mai 2026 en offre l’illustration la plus nette : aucun système chiffré, une pression entièrement fondée sur les données volées à des milliers d’établissements d’enseignement, et un paiement à la clé.
La nuance, documentée par Coveware, est que cette exfiltration pure perd en efficacité : le taux de paiement de cette sous-catégorie est tombé à environ 19 % (Coveware, troisième trimestre 2025), car les organisations comprennent que payer ne supprime pas leurs obligations de notification et n’empêche pas la revente ultérieure des données. Cette érosion du rendement pourrait pousser certains groupes à revenir au chiffrement ou à innover techniquement.
L’IA, du vibe-coding à l’IA agentique
Sur le volet de l’intelligence artificielle, l’IOCTA 2026 mentionne également l’usage de l’IA générative et ses usages déjà opérationnels dans les opérations criminelles. Les applications actuelles relèvent de l’assistance au codage, de la génération de scripts de conversation pour les centres d’appel d’extorsion et de la personnalisation de l’ingénierie sociale. Des LLM malveillants, débarrassés de leurs filtres éthiques, circulent sur le dark web, et les criminels recourent fréquemment à des modèles publics « jailbreakés ».
La fuite interne de The Gentlemen donne un exemple concret : l’administrateur indique avoir développé son panneau d’administration en trois jours avec de l’IA, en s’appuyant sur des modèles chinois (DeepSeek, Qwen). Des projets d’utilisation d’un LLM auto-hébergé pour trier les données exfiltrées et identifier les informations les plus exploitables y étaient évoqués, mais sans implémentation au moment de la fuite. C’est ce second niveau, l’IA agentique capable de planification et d’exécution autonomes, qu’Europol identifie comme menace émergente : son adoption reste « un facteur de développement », mais le rapport anticipe une élévation possible de la menace à des niveaux sans précédent.
Le dark web en 2025 : des marchés éphémères et des forums qui se réinventent
L’IOCTA 2026 décrit une infrastructure dark web en mutation permanente. La durée de vie des marketplaces généralistes s’est encore raccourcie en 2025, et les exit scams planifiés (où les administrateurs disparaissent avec les fonds des utilisateurs) restent endémiques. Le démantèlement d’Archetyp Market en juin 2025 (plus de 600 000 utilisateurs, au moins 250 millions d’euros de transactions) a déclenché la fermeture volontaire d’Abacus Market et de MGM Grand, immédiatement remplacés par BlackOps, TorZon et Nexus Market, devenus les marchés comptant le plus grand nombre d’annonces en fin d’année. En parallèle, des plateformes spécialisées (courtage d’accès RDP/VPN compromis, services malware, outils spécialisés) gagnent du terrain tout en limitant l’accès à des membres vérifiés pour améliorer leur sécurité opérationnelle.
Les forums restent les points d’entrée principaux pour les cybercriminels en devenir : onboarding, tutoriels, recrutement et hubs de migration lorsqu’une plateforme tombe. En 2025, DarkForums a émergé comme successeur de BreachForums, permettant l’échange de données volées et la distribution d’outils de piratage sur des interfaces à la fois surface et Tor. Les cybercriminels ne se cantonnent plus au dark web. Europol décrit un « écosystème hybride d’anonymat » où les opérations se répartissent entre sites du dark web, messageries chiffrées de bout en bout comme Telegram et services accessibles depuis le web classique, ce qui complique la surveillance et l’attribution.
Infostealers et courtiers d’accès, le carburant de l’écosystème
Europol confirme que les infostealers ont persisté en 2025 comme facilitateurs centraux de l’ensemble des cyberattaques, alimentant un marché qui va des courtiers d’accès initial (IAB) aux affiliés RaaS et aux fraudeurs. Les vecteurs d’accès initial les plus courants restent le phishing, les infostealers, l’exploitation de vulnérabilités non corrigées et l’achat d’accès auprès des IAB.
Kaspersky précise que RDP, VPN et, de plus en plus, RDWeb sont les trois types d’accès les plus vendus. Les portails RDWeb, souvent mal protégés, sont de plus en plus ciblés, les efforts s’étant concentrés sur l’exposition directe de RDP. L’industrialisation de ce marché est telle que l’accès initial est devenu une commodité : la difficulté ne réside plus dans la compromission, mais dans la capacité à convertir cet accès en rançon.
Le blanchiment se sophistique
Les cryptomonnaies restent le mode de paiement de référence, et Europol détaille comment les circuits de blanchiment se complexifient. Le chain-hopping (saut de blockchain via les ponts inter-chaînes) s’est imposé comme la technique dominante pour brouiller le traçage, combinant rapidité, liquidité et décentralisation relative. Les mixers (services qui mélangent les transactions de plusieurs utilisateurs pour en brouiller l’origine et la destination) ont migré vers des architectures de smart contracts (« mixer-as-a-service ») et des échanges décentralisés (DEX) à règlement automatique, qui contournent les obligations KYC/AML. Les cartes prépayées en cryptomonnaies et les desks crypto-to-cash assurent la sortie vers le circuit financier légal.
L’opération la plus concrète du rapport concerne Cryptomixer, service de mixage actif depuis 2016 par lequel ont transité plus de 1,3 milliard d’euros en Bitcoin. En novembre 2025, une action coordonnée par les autorités suisses et allemandes, soutenue par Europol, a permis la saisie de trois serveurs, la neutralisation du domaine et la confiscation de plus de 25 millions d’euros en cryptomonnaies ainsi que de 12 téraoctets de données.
Acteurs hybrides : une frontière qui s’estompe
Le rapport aborde aussi l’imbrication entre cybercriminalité et interférence étatique. Europol observe que des acteurs hybrides liés à des États utilisent les réseaux cybercriminels comme proxies pour des opérations de déstabilisation : DDoS, intrusions, vol de données, attaques ransomware contre des cibles stratégiques. La formulation du rapport est directe : « Dans l’économie actuelle de la cybercriminalité de type CaaS, les auteurs de menaces hybrides ne sont plus que des clients parmi d’autres. » L’Opération Eastwood de juillet 2025, qui a perturbé l’infrastructure du réseau NoName057(16) avant que celui-ci ne reprenne rapidement son activité, est citée en exemple.
Ce que les organisations doivent retenir de l’IOCTA 2026
Le rapport confirme que le ransomware est devenu une industrie à part entière, avec ses fournisseurs d’accès, ses plateformes de service, ses outils de blanchiment et ses mécanismes de pression psychologique. La répression a fait évoluer sa doctrine : Europol relève que les interventions contre les habiliteurs clés (infostealers, services de blanchiment, infrastructures partagées) ont un impact plus durable que les démantèlements de groupes isolés, dont les affiliés se redistribuent vers les survivants. Les opérations comme Endgame illustrent ce déplacement de cible.
Pour les organisations, les conséquences pratiques convergent. Les appareils exposés (VPN, pare-feu) restent le point d’entrée structurel le plus ciblé : la quasi-totalité des groupes documentés par l’IOCTA (Qilin, Akira, LockBit, DragonForce) exploitent des vulnérabilités sur FortiGate, SonicWall ou Cisco. Patcher ces appliances en priorité, ne jamais exposer RDP ou RDWeb directement à internet, généraliser l’authentification multifacteur et surveiller les identifiants compromis sur les forums souterrains constituent les mesures les plus directement efficaces.
Le chiffrement n’est plus le seul levier de pression, ni souvent le principal. Les équipes doivent désormais surveiller non seulement les signes de chiffrement mais aussi ceux d’une exfiltration silencieuse préalable, car les sauvegardes ne protègent ni de la publication des données ni des obligations réglementaires qui en découlent. Et la chute du taux de paiement à 28 % ne signifie pas que les rançons ont disparu : les montants médians ont au contraire bondi, traduisant une polarisation entre les petites victimes qui ne paient pas et les grandes organisations qui n’ont parfois pas d’autre option viable. Dans un écosystème où les affiliés migrent constamment d’un groupe à l’autre et où le harcèlement peut se poursuivre après versement, le paiement n’offre aucune garantie, ce qui rend la préparation en amont d’autant plus déterminante.
Sources
Europol : IOCTA 2026, The evolving threat landscape (pdf en 6.8 MB)
Europol : Europol and partners shut down ‘Cryptomixer’
Check Point Research : The State of Ransomware – Q1 2026
Check Point Research : Thus Spoke…The Gentlemen
Kaspersky : Reviewing the trends in ransomware attacks in 2026
Coveware by Veeam : Insider threats loom while ransom payment rates plummet
Industrial Cyber : Europol IOCTA 2026 report flags shift to industrialised cybercrime powered by AI, ransomware and data theft
SecurityWeek : $29 Million Worth of Bitcoin Seized in Cryptomixer Takedown
