L’année 2025 confirme une mutation silencieuse du ransomware, plus concentré, plus industriel, tandis que janvier 2026 marque un reflux mesuré, interprété par ZATAZ comme une pause tactique, non un recul durable.
L’analyse consolidée des campagnes de ransomware entre 2025 et janvier 2026 révèle une hyper-concentration autour de quelques groupes dominants. Qilin, Akira, Play, Incransom et Lynx cumulent l’essentiel des attaques documentées, laissant peu d’espace aux acteurs secondaires. Cette structuration s’accompagne d’une forte volatilité opérationnelle, alternant pics massifs et périodes de quasi-silence. Malgré une baisse nette observée en janvier 2026 par le Service de Veille ZATAZ, les signaux convergent vers une professionnalisation accrue du modèle, avec des groupes industriels capables de maintenir la pression, tandis que les acteurs opportunistes disparaissent aussi vite qu’ils émergent. Le paysage reste instable, mais loin d’un effondrement.
Une domination écrasante de quelques acteurs
La cartographie des volumes cumulés sur la période montre une concentration rarement observée. Cinq groupes structurent l’essentiel de l’activité. Qilin s’impose comme leader incontestable avec 1 311 attaques revendiquées. Akira suit de près avec 1 215 incidents, affichant une régularité remarquable. Play, avec 1 264 attaques, combine intensité et erratisme. Incransom totalise 588 opérations, mais selon un rythme très instable. Lynx, enfin, atteint 358 attaques, une performance notable pour un acteur apparu plus récemment.
Derrière ce noyau dur, le paysage se fragmente rapidement. Sinobi ne totalise que 16 attaques, Direwolf 9, TheGentlemen 4, tandis que BlackShrantac reste marginal. Cette dissymétrie traduit un déplacement clair du rapport de force : le ransomware devient un marché dominé par quelques organisations capables d’opérer à cadence industrielle.
Qilin illustre cette dynamique. Le groupe enregistre des pics exceptionnels, dont 199 attaques en octobre 2025, suivies de 176 en décembre. Cette capacité à maintenir une telle intensité sur plusieurs mois suggère des chaînes d’intrusion rodées et une logistique offensive mature. Les cibles françaises confirment cette profondeur opérationnelle : Atalian, la Communauté de Communes Estuaires, Eurofret, ETMB, Sem Val de Bourgogne, France Terre d’Asile, Christofle, France Hôpital ou encore la gestion des lycées de la région Hauts-de-France figurent parmi les victimes revendiquées.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Cyclicité et volatilité, un écosystème sous tension
La lecture mensuelle met en évidence une évolution en trois temps sur 2025. De janvier à mars, l’activité progresse graduellement dans un écosystème encore fragmenté. D’avril à octobre, une phase de surchauffe s’installe, marquée par la multiplication de campagnes massives et concurrentes. La fin d’année accentue cette dynamique, avec une explosion ponctuelle en novembre attribuée à Clop, qui revendique à lui seul 334 attaques sur un mois.
Décembre 2025 voit Qilin, Akira et Lynx fonctionner à très haut régime. Pourtant, janvier 2026 tranche nettement. Le volume global chute, plusieurs groupes opportunistes disparaissent des radars, tandis que les leaders restent actifs. Ce reflux est interprété comme un signal classique de post-fin d’année : pause opérationnelle, réorganisation interne, arbitrages stratégiques. Aucun indicateur ne suggère un affaiblissement structurel du modèle.
La typologie des acteurs éclaire cette volatilité. Les groupes dits industriels, comme Qilin ou Akira, privilégient la continuité. Leur activité s’inscrit dans la durée, absorbant la pression judiciaire et médiatique. À l’inverse, les groupes opportunistes misent sur des pics courts. Clop illustre ce modèle avec une exploitation massive mais ponctuelle. LockBit5 apparaît presque comme un phénomène one-shot, lié à une fenêtre technique spécifique.
Certains signaux faibles méritent attention. Lynx affiche une montée progressive tout au long de 2025, devenant un acteur crédible fin d’année. Son implication dans l’attaque de la ville de Dunkerque, début janvier, confirme ce changement d’échelle. Medusa suit une trajectoire plus discrète, mais constante. Killsec alterne pics irréguliers et retours récurrents, suggérant un repositionnement stratégique. BlackNevas, avec 23 attaques revendiquées, dont Toyota Asia et Toyota India, témoigne de la persistance d’acteurs secondaires capables de toucher des cibles sensibles.
La lecture stratégique reste sans ambiguïté. Le ransomware demeure hautement professionnalisé. Les campagnes opportunistes coexistent avec des chaînes d’attaques continues, plus efficaces. La baisse observée début 2026 est cyclique. La pression se concentre sur moins d’acteurs, mais chacun dispose d’une capacité de nuisance accrue, renforçant l’asymétrie au cœur de la cybercriminalité contemporaine.
Analyse du Service de Veille ZATAZ
| Groupe | Janv. 2025 | Déc. 2025 | Janv. 2026 | Cumul 12 mois |
|---|---|---|---|---|
| qilin | 18 | 176 | 32 | 1 036 |
| lynx | 36 | 14 | 23 | 253 |
| akira | 56 | 71 | 16 | 708 |
| sinobi | 0 | 54 | 16 | 187 |
| play | 11 | 22 | 10 | 391 |
| direwolf | 0 | 6 | 9 | 57 |
| incransom | 26 | 33 | 7 | 375 |
| everest | 7 | 9 | 4 | 85 |
| interlock | 0 | 8 | 4 | 67 |
| thegentlemen | 0 | 13 | 4 | 78 |
| clop | 58 | 1 | 3 | 519 |
| dragonforce | 13 | 34 | 3 | 221 |
| blackshrantac | 0 | 4 | 2 | 32 |
| lockbit5 | 0 | 92 | 2 | 92 |
| nova | 0 | 11 | 2 | 57 |
| ransomhouse | 1 | 9 | 2 | 52 |
| tengu | 0 | 2 | 2 | 10 |
| vect | 0 | 0 | 2 | 2 |
| anubis | 0 | 10 | 1 | 40 |
| blacknevas | 0 | 0 | 1 | 22 |
| brotherhood | 0 | 1 | 1 | 17 |
| chaos | 0 | 7 | 1 | 31 |
| killsec | 9 | 7 | 1 | 119 |
| medusa | 21 | 5 | 1 | 151 |
| osiris | 0 | 1 | 1 | 1 |
| rhysida | 7 | 11 | 1 | 92 |
| sicarii | 0 | 0 | 1 | 1 |
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
