LockBit revient sur le devant de la scène et s’associe à Qilin et DragonForce. Une coalition inédite qui illustre la recomposition d’un écosystème du ransomware à la fois plus disparate et plus structuré, mais aussi plus agressif et plus imprévisible que jamais.
Les alliances entre groupes de ransomware ne sont pas nouvelles, mais celle-ci change la donne. Dans son rapport du troisième trimestre 2025, ReliaQuest détaille comment LockBit, très discret depuis son démantèlement, s’est associé à Qilin et DragonForce pour relancer une économie du ransomware en quête de puissance et de cohésion. Un mouvement qui traduit plus largement l’évolution rapide d’un écosystème en pleine mutation, où les grands acteurs se réorganisent pour consolider leur influence et où les plus petits prolifèrent à toute vitesse.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
LockBit relance la machine et s’allie à Qilin et DragonForce
Annoncé le 3 septembre 2025 sur un forum de dark web, LockBit 5.0 marque le retour officiel du groupe après l’opération Cronos, qui avait conduit à la saisie de son infrastructure début 2024.
Cette nouvelle version s’accompagne d’un changement radical de posture, puisque le programme d’affiliation autorise désormais les attaques contre les infrastructures critiques, notamment les centrales nucléaires, thermiques ou hydroélectriques, autrefois considérés comme intouchables, tant qu’aucun accord n’a été trouvé avec le FBI. Un mépris assumé pour les règles tacites qui régissaient jusqu’ici le marché du ransomware et qui, d’après ReliaQuest, traduirait une volonté de revanche à l’égard des forces de l’ordre, mais également un repositionnement stratégique destiné à attirer de nouveaux affiliés, après une année marquée par la méfiance et la dispersion du réseau.
C’est aussi dans ce contexte que LockBit s’est ouvertement rapproché de Qilin et DragonForce, deux acteurs particulièrement actifs ces derniers mois. L’accord, officialisé peu après le retour de LockBit, vise à partager les infrastructures, les outils et les canaux d’extorsion afin d’accroître la portée et l’efficacité des attaques. Une alliance tout sauf négligeable, comparable à celle formée en 2020 entre LockBit et Maze, qui avait popularisé la double extorsion combinant chiffrement et vol de données.
Pour Qilin et DragonForce, cette coalition marque donc une occasion d’accéder à un réseau d’affiliés élargi et d’asseoir leur visibilité sur la scène cybercriminelle. Pour LockBit, elle témoigne surtout de la volonté de regagner une place centrale dans l’écosystème du ransomware, quitte à bouleverser les équilibres établis. Ensemble, ces trois groupes pourraient relancer une dynamique offensive à grande échelle, y compris dans des secteurs jusqu’ici jugés à faible risque.
Un écosystème fragmenté mais plus mondial que jamais
Derrière cette tentative de concentration des forces se cache pourtant un phénomène inverse : la fragmentation croissante de l’écosystème. Au troisième trimestre 2025, ReliaQuest recensait ainsi 81 sites de fuite de données actifs, contre un peu moins de 60 à la même période en 2024. Un record historique qui traduit la prolifération de petits groupes venus combler le vide laissé après mise en sommeil temporaire de LockBit et la chute plus récente de RansomHub.
Cette dispersion se traduit par des attaques plus imprévisibles, des cibles plus variées et des méthodes plus disparates. Les groupes privilégient désormais une approche opportuniste, exploitant les vulnérabilités disponibles plutôt que la valeur stratégique des victimes.
Dans ce paysage mouvant, certains acteurs expérimentés cherchent d’ailleurs à tirer parti de ce morcellement. C’est le cas de Scattered Spider, déjà connu pour ses campagnes d’ingénierie sociale, qui prépare ShinySp1d3r, sa propre offre de ransomware-as-a-service. Présentée sur Telegram comme « le meilleur RaaS à ce jour », cette initiative marquerait une première pour un groupe anglophone dans un milieu historiquement dominé par les acteurs russophones, et illustrerait l’extension du modèle économique du ransomware au-delà de ses bastions d’origine. Une évolution portée par des collectifs plus jeunes et plus mouvants, capables d’adopter les codes des grandes organisations cybercriminelles tout en échappant à leurs logiques hiérarchiques.
En parallèle, les chercheurs ont également observé un déplacement géographique des attaques, les États-Unis demeurant la principale cible tandis que de nouveaux foyers commencent à pulluler ailleurs. En Thaïlande, on note ainsi une recrudescence de 69 % des cyberattaques entre le deuxième et le troisième trimestre 2025, portée par la croissance rapide de l’économie numérique et l’émergence du gang Devman2. L’Égypte et la Colombie figurent aussi parmi les pays les plus exposés, signe que les cybercriminels préfèrent désormais opérer en dehors des régions où les capacités de détection et de réponse se sont nettement renforcées.
Bref, le ransomware ne se résume plus à quelques cartels hégémoniques. Il s’étend, se réinvente et s’adapte aux conditions locales, porté par des écosystèmes complets, fluides et mondialisés, où coopération et dispersion avancent dorénavant de concert. Autant dire que les perspectives ne sont pas bien joyeuses.
Source : ReliaQuest
