Fortinet vient de mettre à disposition son rapport annuel sur la cybercriminalité publié par des chercheurs du FortiGuard Labs. Les attaques par ransomware ont explosé, et bien évidemment, c'est l'usage malveillant d'outils IA qui permet d'exploiter les vulnérabilités bien plus rapidement qu'avant.
Pour produire cette analyse annuelle, les chercheurs de FortiGuard Labs s'appuient sur la télémétrie de millions de capteurs déployés dans le monde. Les cyberattaques ne sont plus des campagnes isolées, elles tournent désormais en continu.
7831 victimes de ransomware en un an
FortiRecon, la solution de veille de Fortinet, a comptabilisé 7 831 victimes confirmées de ransomware dans le monde sur l'ensemble de l'année 2025. C'est près de cinq fois plus qu'en 2024, quand on en recensait environ 1600, soit une progression de 389%. Le secteur industriel est le plus ciblé, avec 1284 organisations touchées, devant les services aux entreprises (824) et le commerce de détail (682). Les États-Unis concentrent 3381 victimes, suivis du Canada (374) et de l'Allemagne (291).
Parmi les groupes malveillants actifs, Qilin domine le classement et aurait fait 1021 victimes. Ce chiffre confirme d'ailleurs la tendance que nous rapportions en mars dernier à partir du bilan de l'ANSSI, où le groupe occupait déjà la première place sur le marché français. Akira et Safepay suivent avec 645 victimes chacun. D'après ce rapport, de nouveaux groupes apparaissent régulièrement, certains ne dépassant pas dix victimes lors de leurs premiers mois.
Dans 48,96% des cas détectés par les capteurs de Fortinet, l'activité suspecte est générée par des outils légitimes déjà présents dans le système cible avec des exécutables natifs comme PowerShell ou des utilitaires d'administration à distance tels qu'AnyDesk, LogMeIn ou Ngrok. Puisque les attaquants exploitent des outils qu'une entreprise utilise normalement au quotidien, ce qui rend leur détection plus complexe.
Sans surprise l'IA a agravé la situation
L'édition précédente du rapport FortiGuard Labs notait un délai moyen de 4,76 jours entre la publication d'une faille et son exploitation. En 2025, ce délai s'est réduit à 24-48 heures pour les incidents critiques. Sur plusieurs cas, dont une faille dans Apache Tomcat (CVE-2025-24813) ou dans les outils Fortra GoAnywhere (CVE-2025-10035), le TTE était de zéro jour : l'exploitation démarrait le jour même de la divulgation publique.
Cette accélération est liée à la prolifération d'outils d'IA offensifs sur le darkweb. FortiRecon a détecté plusieurs produits commercialisés auprès des cybercriminels : WormGPT et FraudGPT génèrent des emails de phishing convaincants et du code malveillant sans aucune restriction. HexStrike AI automatise la reconnaissance et la génération de chemins d'attaque. BruteForceAI intègre des modèles de langage pour analyser les formulaires de connexion et lancer des attaques par force brute multi-threads. Ces outils ne créent pas de nouvelles vulnérabilités, ils réduisent le temps entre la découverte d'une faille et son exploitation à grande échelle.
FortiRecon a recensé 4,62 milliards de "stealer logs" sur le darkweb en 2025, soit une progression de 79% par rapport à l'année précédente. Ces fichiers regroupent identifiants, mots de passe et cookies de session collectés par des logiciels espions. Le malware RedLine, notamment, aurait servi pour 911 968 infections, devant Lumma (499 784) et Vidar (236 778). Une fois ces données en circulation, les attaquants n'ont plus à forcer les accès, ils se connectent directement avec des identifiants valides.
