Types de ransomwares : chiffrement, wipers, exfiltration
Les familles de ransomwares
La diversification des techniques ransomware reflete la maturite de l’ecosysteme criminel. Comprendre les differences entre les types permet de mieux adapter sa strategie de defense et de reponse.
Chiffrement classique
Le modele original : le ransomware chiffre les fichiers avec un algorithme fort (AES-256, RSA) et exige une rancon en cryptomonnaie pour fournir la cle. Si la victime ne paie pas, les fichiers restent inaccessibles.
Exemples : LockBit, BlackCat/ALPHV
La robustesse du chiffrement utilise rend la recuperation par force brute mathematiquement impossible. AES-256 avec une cle aleatoire et unique par victime signifie que seul l’attaquant detient la cle de dechiffrement. Certains groupes utilisent une architecture de cles hierarchique : une cle maitre chiffre les cles individuelles des fichiers, ce qui permet de “livrer” la cle de dechiffrement a la victime sans exposer l’infrastructure de cles globale.
La vitesse de chiffrement est egalement un facteur critique : les ransomwares modernes utilisent le chiffrement partiel (seuls les premiers kilooctets d’un fichier sont chiffres) pour maximiser les degats en un temps minimal, rendant les fichiers inutilisables sans chiffrer l’integralite de leur contenu.
Double extorsion
Le modele dominant depuis 2020. L’attaquant exfiltre les donnees AVANT de chiffrer, puis menace de les publier. Meme si la victime restaure depuis ses sauvegardes, les donnees volees restent un levier de pression.
Exemples : Qilin, Cl0p, Akira
La double extorsion a rendu les sauvegardes insuffisantes comme seule defense. Meme une organisation capable de restaurer ses systemes en 24 heures doit faire face a la menace de voir ses donnees clients, contrats, informations financieres ou propriete intellectuelle publiees sur un site de fuite (leak site).
Les leak sites sont souvent des sites Tor accessibles au public, permettant a tout le monde de verifier si une organisation a ete victime. Cette dimension de reputation aggrave considerablement l’impact : clients, partenaires, presse et regulateurs sont informes simultanement de la breche.
Wipers deguises en ransomware
Certains malwares se presentent comme des ransomwares mais detruisent les donnees de maniere permanente. Pas de cle de dechiffrement, pas de negociation possible. Souvent utilises par des acteurs etatiques pour masquer des operations de sabotage.
Exemples : Handala/Void Manticore (attaque Stryker), NotPetya (2017), Sicarii
NotPetya reste l’exemple le plus couteux : presente initialement comme un ransomware, il s’est revele etre un wiper d’Etat ayant cause 10 milliards de dollars de degats mondiaux. Maersk, Merck, FedEx ont tous ete severement touches. La fausse demande de rancon avait pour but de brouiller les pistes sur la nature reelle de l’attaque.
La distinction entre wiper et ransomware est parfois intentionnellement floue : si les attaquants ne conservent pas de cle de dechiffrement fonctionnelle, l’intention importe peu pour la victime, l’effet est identique.
Exfiltration sans chiffrement
Tendance 2026 : l’attaquant vole les donnees sans les chiffrer. Plus rapide, plus discret, moins de chances de declencher les outils EDR. La menace de publication suffit a obtenir le paiement.
Avantages pour l’attaquant : pas de risque technique lie au chiffrement, pas de gestion de cles, execution plus rapide. L’activite de chiffrement massif de fichiers est l’un des comportements les mieux detectes par les EDR modernes. Le chiffrement entraine aussi un fort impact CPU et disque, potentiellement visible.
En se limitant a l’exfiltration, l’attaquant maintient l’acces discret plus longtemps et peut exfiltrer davantage de donnees. La victime, dont les operations ne sont pas interrompues, peut mettre plus de temps a decouvrir la compromission.
Ransomware-as-a-Service (RaaS)
Modele economique ou les developpeurs du ransomware fournissent l’outil a des “affilies” qui menent les attaques. Les revenus sont partages (generalement 70/30 ou 80/20 en faveur de l’affilie).
Impact : abaisse la barriere d’entree. Des attaquants sans competences techniques avancees peuvent mener des operations sophistiquees.
Le modele RaaS ressemble a une franchise criminelle. Les operateurs (createurs du ransomware) fournissent :
- Le malware et son infrastructure (serveurs C2, portail de negociation, site de fuite)
- Le support technique pour les affilies
- Parfois des acces initiaux vendus par des “access brokers”
Les affilies apportent leurs competences en intrusion et leur acces aux cibles. Ce modele a professionnnalise le ransomware et conduit a une specialisation : certains acteurs se specialisent exclusivement dans l’acces initial, qu’ils revendent ensuite a des operateurs RaaS.
Choisir sa reponse selon le type
| Type | Payer aidera-t-il ? | Priorite de reponse |
|---|---|---|
| Chiffrement classique | Peut-etre | Restaurer depuis sauvegardes |
| Double extorsion | Partiel (donnees deja volees) | Evaluer les donnees exposees |
| Wiper | Non | Recovery et investigation forensique |
| Exfiltration seule | Peu probable | Identifier les donnees exfiltrees |
Publicité