Publié le 2025-10-08 01:00:00. Le paysage des cyberattaques est en pleine mutation. L’intelligence artificielle (IA) propulse les ransomwares vers de nouvelles formes d’extorsion, délaissant le chiffrement au profit du chantage psychologique et juridique, transformant la menace en un outil potentiellement géopolitique.
- Les ransomwares évoluent : moins de chiffrement, plus de pression sur la réputation et le contrôle.
- L’IA accélère et rend plus sophistiquées les cyberattaques, les rendant plus difficiles à tracer.
- De nouveaux groupes émergents exploitent l’IA, brouillant la frontière entre criminalité financière et actions étatiques.
En l’espace d’un an, le ransomware a opéré une métamorphose radicale. L’objectif ne se limite plus à crypter massivement des fichiers contre rançon. Désormais, les cybercriminels ciblent le contrôle et utilisent le chantage psychologique et juridique. Ce qui nécessitait autrefois des semaines de préparation peut désormais être lancé en quelques heures grâce à l’intelligence artificielle. Des pirates isolés font place à des organisations criminelles structurées, profitant d’une IA qui rend leurs opérations plus rapides, moins coûteuses et presque insaisissables.
Ari Redbord, directeur de la politique mondiale chez TRM Labs, une entreprise spécialisée dans le suivi de la blockchain, souligne cette transformation : « L’intelligence artificielle transforme complètement l’écosystème des ransomwares. Non seulement cela rend les attaques plus évolutives, mais cela change les règles du jeu. Nous constatons des opérations plus rapides, une utilisation sophistiquée de l’ingénierie sociale et des tactiques qui reposent sur la pression de la réputation plutôt que sur le cryptage des données. Par ailleurs, la frontière entre groupes financiers et acteurs liés aux États est de plus en plus floue. »
L’IA permet de générer du code malveillant capable de déjouer les détections, de créer des e-mails de phishing plus convaincants et d’automatiser le vol d’identifiants. Selon les analyses de TRM Labs, neuf groupes criminels émergents ont été identifiés au cours des douze derniers mois, tous utilisant des outils basés sur l’IA pour des campagnes automatisées, des malwares polymorphes et des réseaux de blanchiment d’argent complexes. Cet écosystème criminel évolue en adoptant la même logique que les systèmes qu’il combat : l’évolutivité.
Aujourd’hui, près de la moitié des attaques ne comprennent plus de chiffrement. Le modèle classique consistant à bloquer l’accès aux données contre une rançon est supplanté par une extorsion sans séquestration de données : les informations sont volées puis la menace de leur publication pèse sur les entreprises. Conscients de l’impact des réglementations sur la protection des données et des sanctions potentielles en cas de fuite, les groupes criminels n’hésitent plus à menacer directement les autorités de régulation et les concurrents des sociétés ciblées.
Parmi les nouveaux acteurs se distinguent Arkana Security, responsable d’une attaque contre le fournisseur américain WideOpenWest ; Rogue Tenant, qui opère via des plateformes anonymes sur le dark web ; Frag, une émanation du groupe russe Akira active dans le secteur industriel ; et Sarcoma, actif depuis 2024. Ce dernier cible les entreprises de taille moyenne en Amérique et en Europe, se caractérisant par l’effacement de ses traces et une pression publique intense sur ses victimes.
À un autre niveau, des entités comme AiLock et APTLock émergent, la première montrant des liens avérés avec des États. AiLock se présente comme un ransomware « assisté par IA » et menace de dénoncer ses victimes auprès de leurs propres régulateurs. APTLock, d’après les chercheurs, serait lié au groupe russe Fancy Bear et combinerait sabotage, espionnage et extorsion. Dans ces cas, la motivation financière se mêle étroitement à des objectifs politiques, les ransomwares devenant un véritable instrument de coercition étatique.
D’autres groupes, tels que Kairos, Weyhro et Termite, marquent la frontière entre l’innovation criminelle et le retour de tactiques plus anciennes. Kairos achète des accès réseau et procède à de l’extorsion sans recourir au chiffrement. Weyhro planifie des attaques ciblées visant à détruire les sauvegardes avant de réclamer un paiement. Termite, quant à lui, héritier du groupe russe Dusty, a réactivé son code source pour cibler les entreprises intégrées dans les chaînes d’approvisionnement de grandes sociétés, exploitant leur rôle de fournisseurs clés.
Malgré ces évolutions, les ransomwares restent intrinsèquement liés à l’économie des cryptomonnaies. Le Bitcoin demeure la devise de prédilection, bien que de nombreux groupes migrent vers le Monero ou le Tron pour leur plus grande opacité. Le blanchiment des fonds s’effectue via des plateformes comme Wasabi, qui agrègent diverses transactions pour masquer l’origine des fonds, ou par le biais d’échanges non réglementés. Cependant, la traçabilité de la blockchain demeure leur principal talon d’Achille.
TRM Labs surveille ces flux pour les gouvernements et les banques, identifiant des schémas récurrents tels que les mouvements entre adresses communes, les ponts inter-chaînes et la réutilisation de portefeuilles. Ces indices permettent de récupérer des fonds ou de reconstituer les réseaux financiers des cybercriminels. L’IA intervient également dans ce domaine, avec des systèmes de conversion automatique de cryptomonnaies qui brassent des centaines d’adresses en quelques secondes. Il en résulte un marché criminel plus liquide et adaptable, où chaque acteur peut assumer simultanément les rôles d’auteur, d’intermédiaire et de blanchisseur.
Ce qui a débuté comme une industrie clandestine a acquis une dimension géopolitique. Certaines attaques visent désormais à causer des dommages structurels, à perturber les services publics ou à éroder la confiance dans les institutions critiques. Les ransomwares se transforment ainsi en une forme de guerre numérique de basse intensité, démontrant la facilité avec laquelle l’infrastructure numérique mondiale peut être mise à mal, sans pour autant être revendiquées comme des attaques formelles.
TRM Labs prévient que la lutte contre cette menace nécessite plus que la cybersécurité traditionnelle. Elle exige une coopération internationale accrue et un suivi financier rigoureux. L’intelligence blockchain, capable de tracer l’argent même au sein de réseaux apparemment anonymes, est devenue un outil essentiel de dissuasion et un enjeu de politique mondiale.