Face à l’essor des opérations répressives internationales, les groupes DragonForce et Anubis adaptent leur stratégie pour renforcer leur impact sur la scène du cybercrime.
L’activité de ransomware ne cesse de se transformer. Alors que les grandes campagnes policières mettent à mal plusieurs opérations criminelles, DragonForce et Anubis montrent en 2025 une capacité d’adaptation remarquable, illustrant la mutation rapide du paysage des cybermenaces.
DragonForce : décentralisation et « cartelisation » du ransomware
En mars 2025, DragonForce, un groupe apparu en 2023, franchit une étape majeure : il se restructure en « cartel » de ransomware. Loin de se contenter d’un modèle classique de ransomware-as-a-service (RaaS), l’organisation propose désormais à ses affiliés de créer leurs propres « marques ». Cette flexibilité attire un public varié de cybercriminels, qui peuvent ainsi personnaliser leurs opérations tout en exploitant l’infrastructure technique de DragonForce.
En un an, 136 victimes ont été recensées sur le site de fuite de DragonForce. Cette approche distribuée complique la tâche des forces de l’ordre : chaque affilié apparaît comme une entité distincte, brouillant les pistes. Pour les professionnels de la cybersécurité, ce modèle impose une surveillance renforcée des signaux faibles, car la fragmentation des opérations augmente la difficulté de détection.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Selon les chercheurs de Secureworks Counter Threat Unit (CTU), cette évolution traduit une réponse directe à la répression accrue, mais également une volonté d’élargir rapidement l’écosystème criminel autour du ransomware.
Anubis : l’extorsion à trois niveaux pour diversifier les attaques
Anubis, nouvel acteur apparu en février 2025 sur les forums clandestins, innove en multipliant les méthodes d’extorsion. Plutôt que de se limiter à l’encryptage de données, Anubis propose trois modèles distincts à ses affiliés, chacun avec une répartition de gains adaptée.
Le premier, classique, repose sur l’encryption des données, offrant 80 % des rançons aux partenaires. Le deuxième, baptisé « data ransom », se concentre sur le vol d’informations sensibles sans chiffrement, avec un partage de 60 %. Le troisième, inédit, baptisé « accesses monetization », aide les affiliés à monnayer des accès déjà compromis, moyennant 50 % des recettes.
Dans le cas du « data ransom », la stratégie s’avère particulièrement agressive : des « articles d’investigation » exposant les détails des victimes sont publiés sur des sites Tor protégés par mot de passe. La menace va plus loin : Anubis menace de divulguer l’affaire sur X (anciennement Twitter), d’en informer les clients, et, plus radical encore, de dénoncer les victimes aux autorités de protection des données comme l’Information Commissioner’s Office (UK), le Department of Health and Human Services (US) ou le European Data Protection Board.
Ce levier réglementaire, utilisé pour accentuer la pression, rappelle les pratiques de GOLD BLAZER, qui avait, en novembre 2023, signalé un refus de rançon à la SEC américaine après une attaque ALPHV (BlackCat).
Une sophistication croissante à anticiper
Le développement de modèles personnalisables et de techniques d’extorsion hybrides souligne une évidence : les cybercriminels adaptent leur « business model » face à une résistance accrue des entreprises. À mesure que les organisations améliorent leurs capacités de réponse, les attaquants misent sur la diversification pour maintenir leur rentabilité. La menace n’est plus uniquement technique : elle devient juridique, réputationnelle et commerciale.
Les modèles DragonForce et Anubis montrent que l’écosystème des ransomwares est en perpétuelle mutation. La vigilance, l’analyse proactive et la préparation des équipes restent plus que jamais des priorités stratégiques.
Pour en savoir plus
Les opérateurs de ransomware DragonForce et Anubis dévoilent de nouveaux modèles d’affiliation
Malgré les perturbations importantes causées par les opérations internationales d’application de la loi ciblant les principaux programmes de rançongiciels, les groupes de cybercriminels continuent de faire preuve d’une adaptabilité remarquable en 2025. Deux opérations de rançongiciels notables, DragonForce et Anubis, ont introduit des modèles d’affiliation innovants conçus pour étendre leur portée…
Les gangs de ransomware DragonForce et Anubis lancent de nouveaux programmes d’affiliation
Les chercheurs de l’unité de contre-menaces (CTU) de Secureworks ont découvert des stratégies innovantes déployées par les opérateurs de ransomwares DragonForce et Anubis en 2025. Ces groupes s’adaptent aux pressions des forces de l’ordre avec de nouveaux modèles d’affiliation conçus pour maximiser les profits et étendre leur portée,…
(Re)découvrez également:
Ransomware : les victimes paient-elles vraiment moins ?
La tendance récente indique une diminution des paiements aux cybercriminels. Une victoire fragile face aux ransomwares ou une stratégie criminelle en évolution ?
Cette veille indépendante vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
