Les groupes de ransomware tels que HELLCAT, Cl0p et plusieurs collectifs d'extorsion de données ont orchestré certains des attaques de ransomware les plus coûteuses de 2025. L'année a vu l'arrêt de la production dans une grande entreprise automobile, l'exposition de millions de dossiers de patients dans une grande organisation de santé, un abus à grande échelle d'OAuth à travers un Cloud CRM, et une campagne de zero-day contre un important fournisseur de logiciels d'entreprise et de cloud qui a perturbé les systèmes financiers et de chaîne d'approvisionnement. De plus, une attaque en fin d'année sur un distributeur informatique mondial a démontré à quelle vitesse le ransomware peut déstabiliser la logistique mondiale.
À travers ces événements, il y a un fil conducteur commun : les attaquants ont ciblé les intégrations et les plateformes dont dépendent les opérations, révélant des faiblesses systémiques qui s'étendaient des secteurs automobile à la santé.
Ci-dessous, un récapitulatif chronologique des incidents de ransomware les plus conséquents de l'année, basé sur des données publiquement rapportées, des analyses sectorielles et des divulgations d'organisations affectées.
1. Un Grand Fabricant Automobile (Mars–« Août 2025 »)
Groupes de ransomware revendiquant la responsabilité :
- HELLCAT (violation initiale et vol de données)
- Scattered Spider, Lapsus$, et ShinyHunters : un collectif de trois groupes de hackers différents qui ont travaillé en unisson en communiquant sur des plateformes en ligne pour coordonner leur attaque
Données estimées volées : ~350 Go
Secteur : Fabrication automobile
En mars, le groupe de ransomware HELLCAT a réussi à pirater un grand fabricant automobile en deux vagues : la première vague a vu 700 documents internes volés, suivie d'une seconde vague au cours de laquelle 350 Go de données sensibles ont été prises. Le matériel volé comprenait des identifiants d'employés, des données de suivi, des journaux de développement et du code source propriétaire.
À la fin de l'été, la situation s'est aggravée. Le 31 août, l'entreprise a arrêté ses opérations informatiques mondiales pour contenir une violation active qui a interrompu la production en Inde, en Slovaquie, en Chine et au Royaume-Uni. Dans les jours qui ont suivi, plusieurs groupes de menaces ont publiquement revendiqué la responsabilité, créant de la confusion autour de l'attribution. Un collectif récemment rebaptisé—Scattered Spider, Lapsus$, et ShinyHunters—a affirmé sur Telegram qu'ils étaient derrière l'attaque du 31 août, se moquant de l'entreprise et menaçant d'autres cibles basées au Royaume-Uni. L'entreprise a ensuite confirmé que des données sensibles avaient été volées et que l'attaque avait forcé un arrêt prolongé des systèmes de fabrication et de vente.
L'entreprise a signalé une baisse de 49 % de son bénéfice avant impôts trimestriel, et les analystes du secteur ont estimé le coût total opérationnel et de récupération à environ 2,5 milliards de dollars, ce qui en fait “la cyberattaque la plus coûteuse de l'histoire du Royaume-Uni” selon la BBC.
2. Une Organisation de Santé Spécialisée dans les Soins Rénaux (« Août 2025 »)
Groupe de ransomware : Interlock Ransomware
Données estimées volées : PHI pour 2,7 millions de patients
Secteur : Santé
En août, l'entreprise a confirmé qu'une attaque par ransomware avait compromis des informations de santé protégées (PHI) pour environ 2,7 millions de patients, suite au vol de plus de 20 téraoctets de données, y compris plus de 200 millions de lignes de dossiers cliniques et démographiques. Les informations volées comprenaient des historiques de traitement, des détails d'assurance, des numéros de sécurité sociale Sécurité, et d'autres identifiants à haut risque—des catégories qui comportent une exposition réglementaire, légale et de sécurité des patients significative.
L'attaque a perturbé les systèmes cliniques et a forcé l'entreprise à activer des protocoles de contingence à travers son réseau national de centres de dialyse. Bien que l'entreprise soutienne que les soins aux patients ont continué, les conséquences à long terme des dossiers médicaux volés restent sévères : les patients font face à des risques accrus de vol d'identité et d'activités de crédit frauduleuses, tandis que les prestataires de soins de santé peuvent être confrontés à des prescriptions falsifiées, des historiques médicaux corrompus, et des problèmes d'intégrité des dossiers à long terme.
L'entreprise a déjà encouru 13,5 millions de dollars en coûts directs liés à l'enquête, à la remédiation et à la perturbation opérationnelle, un chiffre qui exclut les pertes d'interruption d'activité et les pénalités réglementaires potentielles. L'incident a également déclenché plusieurs recours collectifs (Reid c. Davita Inc., et Jenkins et al c. DaVita), les plaignants alléguant un usage abusif des données volées et des mesures de protection inadéquates. Ensemble, ces facteurs ont intensifié l'examen de la cybersécurité dans le secteur de la santé, en particulier pour les prestataires dont les services sont essentiels à la survie des patients.
3. Une Plateforme de Données Basée sur le Cloud (Septembre–Octobre 2025)
Groupe de ransomware : ShinyHunters (affilié à l'écosystème Scattered Spider / Lapsus$)
Données estimées volées : Près de 1 milliard de dossiers clients à travers les locataires affectés ~800 organisations
Secteur : Cloud CRM / SaaS
Au début de l'automne, un ensemble coordonné d'attaques a balayé les organisations utilisant un écosystème Cloud CRM bien connu. Les attaquants n'ont pas violé l'entreprise elle-même ; au lieu de cela, ils ont progressé à travers le terrain environnant—des campagnes de vishing qui ont convaincu les employés d'installer une version malveillante du Data Loader de l'entreprise, et une opération parallèle qui a abusé des jetons OAuth volés liés à l'une des intégrations Drift de l'entreprise. Une campagne a touché 39 entreprises, tandis que l'activité basée sur OAuth a atteint 760 organisations.
Le groupe—opérant sous des noms incluant Scattered Lapsus$ Hunters et ShinyHunters—revendique avoir pris près de 1 milliard de dossiers clients, y compris de grands volumes de PII et de données commerciales liées au CRM. L'entreprise a déclaré que sa plateforme n'avait pas été compromise et qu'aucune faille dans sa technologie de base n'était impliquée.
Pour les locataires affectés, les retombées ont été mesurées en millions de dollars par organisation, entraînées par des enquêtes judiciaires, des notifications aux clients, et la pression exercée sur les relations avec les clients. Les attaquants ont également expérimenté de nouvelles tactiques de pression, offrant aux abonnés Telegram 10 $ en Bitcoin pour envoyer des e-mails aux dirigeants et exiger un paiement—une tentative inhabituelle d'élargir l'effort d'extorsion.
La campagne montre comment les attaquants se déplacent latéralement en identifiant des chemins, des intégrations et des outils tiers plutôt que les plateformes SaaS elles-mêmes. Ils recherchent un accès par porte dérobée, où la sécurité pourrait ne pas être aussi rigoureuse.
4. Un Grand Fournisseur de Logiciels d'Entreprise et de Cloud (Fin 2025)
Groupe de ransomware : Cl0p (avec une activité liée aux Scattered Lapsus$ Hunters)
Données estimées volées : Grands volumes de données ERP à travers plusieurs entreprises
Secteur : ERP d'entreprise / multi-secteurs
À la fin de 2025, Cl0p a commencé à exploiter CVE‑2025‑61882, une faille d'exécution de code à distance dans un composant d'intégration BI Publisher d'un grand fournisseur de logiciels d'entreprise et de cloud. Le bug a permis un accès non authentifié via HTTP, donnant aux attaquants un chemin direct vers le moteur de traitement concurrent de l'entreprise. Le groupe de renseignement sur les menaces de Google et Mandiant ont observé l'exploitation le 2 octobre ; l'entreprise a émis un avis et un correctif le 4 octobre. Une seconde faille EBS, CVE‑2025‑61884, a été corrigée quelques jours plus tard.
Les chercheurs ont découvert que les attaquants avaient enchaîné cinq faiblesses distinctes—certaines nouvellement découvertes, d'autres corrigées plus tôt dans l'année—pour obtenir un accès avant authentification. Un proof-of-concept publié par les Scattered Lapsus$ Hunters a confirmé le chemin d'exploitation, permettant à plusieurs groupes de menaces de l'adopter. Une fois à l'intérieur, Cl0p a déployé un script malveillant, server.py, qui agissait comme un canal de commande et de contrôle pour le vol de données et le mouvement latéral.
La campagne a atteint des organisations dans les secteurs des médias, de l'aviation, de l'enseignement supérieur et industriel, y compris The Washington Post, l'Université Harvard, Envoy Air, Schneider Electric, et Emerson. Les victimes ont reçu des e-mails d'extorsion—souvent envoyés depuis des comptes de messagerie professionnelle compromis—offrant “des preuves” de données ERP volées et des instructions pour le paiement.
De nombreuses organisations ont d'abord réalisé qu'elles avaient été compromises seulement lorsque des acteurs liés à Cl0p ont initié des e-mails d'extorsion faisant référence aux données prises sur la plateforme du fournisseur de logiciels d'entreprise et de cloud. L'analyse de Google et Mandiant montre que le cadre d'implantation multi-étapes des attaquants leur a permis d'atteindre des composants d'application plus profonds, y compris BI Publisher et le traitement concurrent—des domaines que le fournisseur avertit peuvent exposer des dossiers commerciaux sensibles lorsqu'ils sont accessibles sans autorisation.
L'incident a montré à quelle vitesse les acteurs de la menace peuvent élever leurs privilèges une fois que les services ERP accessibles à distance sont exposés, permettant l'interaction avec des données financières et opérationnelles dont les entreprises dépendent pour leurs fonctions quotidiennes.
5. Un distributeur technologique mondial (fin 2025)
Groupe de ransomware : SafePay (lié à l'activité dérivée de LockBit)
Données estimées volées : Données opérationnelles, logistiques et liées aux fournisseurs (portée encore en cours d'examen)
Industrie : Distribution et logistique mondiales
Début juillet, l'un des plus grands distributeurs technologiques au monde a été frappé par une attaque par ransomware qui les a contraints à fermer des systèmes essentiels à travers son réseau mondial. Les employés ont d'abord vu des pop-ups de notes de rançon le 3 juillet, peu avant que les systèmes de traitement des commandes, les sites web et les plateformes Xvantage et Impulse de l'entreprise ne commencent à échouer. SafePay—un groupe d'extorsion en forte croissance lié à plus de 220 victimes antérieures—a ensuite revendiqué la responsabilité. Les premiers rapports indiquaient que les attaquants étaient probablement entrés par le VPN GlobalProtect de l'entreprise en utilisant des identifiants divulgués ou faibles plutôt qu'une faille logicielle.
La panne a interrompu le traitement des commandes dans le monde entier pendant plusieurs jours. Avec les systèmes de fulfillment hors ligne, les clients et les partenaires revendeurs ont été confrontés à des retards, des expéditions retardées et une visibilité limitée sur les stocks. Les fabricants et les prestataires de services s'appuyant sur les délais de distribution du fournisseur ont dû se tourner vers des distributeurs de secours ou puiser dans les stocks de réserve pour maintenir leurs opérations. Bien que la note de rançon de SafePay ait affirmé un vol de données, il n'y avait pas de preuves précoces de fuite de dossiers de clients, de fournisseurs ou d'employés, et l'entreprise a continué à enquêter sur l'étendue de toute exposition.
Le distributeur informatique mondial a réagi en isolant les systèmes affectés, en mettant son VPN hors ligne et en engageant des équipes externes de réponse aux incidents. L'entreprise a publié des mises à jour publiques régulières, a fourni des solutions de contournement pour passer des commandes par téléphone ou par e-mail, et a mis en place des canaux d'escalade pour les demandes urgentes. La récupération a progressé par étapes : les sites web sont revenus le 7 juillet, le traitement partiel des commandes a repris le 8 juillet, et les opérations mondiales complètes ont été rétablies d'ici le 9 juillet.
Plus de 42 000 informations personnelles de clients ont été compromises, y compris des numéros de sécurité sociale, des dates de naissance, des dossiers d'emploi et des noms.
Bien que l'entreprise n'ait jamais divulgué de rapport formel, les coûts estimés se chiffrent à plusieurs millions, en raison de la restauration des systèmes, du soutien aux partenaires et du ralentissement opérationnel créé par la panne. Même sans exposition de données à grande échelle confirmée, l'événement a montré à quelle vitesse une intrusion par ransomware peut se propager à travers une chaîne d'approvisionnement mondiale lorsque les plateformes essentielles d'un distributeur sont hors ligne.
Ce que ces attaques révèlent sur les campagnes modernes de ransomware
Pourquoi plusieurs groupes revendiquent la même attaque
Les groupes de ransomware rivalisent souvent pour attirer l'attention, la crédibilité et l'influence. Lorsqu'un incident affecte une cible à haute visibilité (qu'il s'agisse d'un grand constructeur automobile, d'une organisation de santé spécialisée dans les soins rénaux, d'une plateforme de données basée sur le cloud, d'un grand fournisseur de logiciels d'entreprise et de cloud, ou d'un distributeur technologique mondial), plusieurs groupes peuvent revendiquer la responsabilité. Certains le font pour gonfler leur réputation, d'autres pour embrouiller les enquêteurs, et certains pour mettre la pression sur les victimes afin qu'elles paient rapidement. Tout cela fait partie de la stratégie d'extorsion.
Pourquoi les entreprises divulguent si peu, si lentement
Les organisations ont rarement une vue d'ensemble d'une attaque dans les premières heures ou même les premiers jours. L'exposition légale, les obligations réglementaires et le risque de divulguer des informations inexactes influencent toutes la manière et le moment où elles communiquent. De nombreuses entreprises ne partagent que ce qu'elles peuvent vérifier, ce qui signifie souvent des détails limités pendant l'événement et des déclarations soigneusement formulées par la suite. Cela crée des lacunes dans la compréhension publique, mais cela reflète la réalité de la réponse aux incidents : les équipes découvrent encore ce qui s'est passé pendant que le monde demande des réponses.
Cela dit, les entreprises ont l'obligation de maintenir la transparence lorsque des données sensibles des clients, telles que les PHI, ont été compromises. Les nouvelles ne devraient pas prendre des semaines ou des mois à être publiées. Les entreprises dans les secteurs de la santé, SLED et des services financiers sont spécifiquement tenues à un standard plus élevé pour cette raison : le type d'informations qu'elles détiennent est particulièrement vulnérable et doit être protégé avec la meilleure protection disponible.
Ce qui aurait pu prévenir ces violations
Lacunes architecturales qui ont donné aux attaquants de la marge de manœuvre
À travers les cinq incidents, les points d'entrée différaient—des identifiants VPN chez un distributeur technologique mondial, une faille zero-day chez un grand fournisseur de logiciels d'entreprise et de cloud, un abus d'intégration chez un Cloud CRM, et un compromis basé sur l'identité chez une entreprise de santé spécialisée dans les soins rénaux. Mais une fois à l'intérieur, les attaquants ont réussi pour les mêmes raisons :
- Trop de confiance implicite entre les systèmes
- Sauvegarde chemins qui pouvaient être atteints ou manipulés
- Stockages de données qui pouvaient être modifiés ou exfiltrés
- Environnements où le mouvement latéral était possible longtemps avant la détection
Ces faiblesses ont transformé des points d'ancrage en violations à grande échelle.
Éléments qui auraient limité le rayon d'explosion
Une approche architecturale différente aurait changé la trajectoire de chaque attaque.
- Les principes de Zero Access auraient fermé les points d'entrée liés à l'utilisation abusive des identifiants et à la couche d'intégration qui ont donné aux attaquants leur point d'ancrage.
- La segmentation entre le logiciel de sauvegarde et le stockage de sauvegarde aurait coupé les chemins de contrôle sur lesquels les attaquants comptent, les empêchant d'atteindre ou de modifier les sauvegardes même après avoir violé les systèmes principaux.
- Zero-trust Résilience des données aurait restreint le mouvement latéral et contenu l'intrusion à son point d'entrée initial.
- Absolute Immuabilité aurait garanti que même si les attaquants atteignaient les systèmes centraux, ils ne pouvaient pas modifier ou chiffrer les données sur lesquelles les organisations comptent pour se rétablir.
Ces stratégies font la différence entre une violation qui devient une crise opérationnelle de plusieurs millions pendant des mois et une qui se termine au point d'entrée. Pour comprendre à quoi ressemble une attaque par ransomware et comment s'y préparer, téléchargez notre Guide de survie contre les ransomwares.
Vous souhaitez rendre votre entreprise à l'abri des ransomwares ? Discutez avec l'un de nos ingénieurs commerciaux et réservez une démo aujourd'hui.
