Retour au blog
Threat actorsransomwareRaaS

Cl0p, LockBit, ALPHV : l'écosystème ransomware moderne en 2026

Publié le 2026-04-118 min de lectureFlorian

Le ransomware est une industrie

Le ransomware n'est plus le fait d'individus isolés. C'est un écosystème industriel structuré autour du modèle Ransomware-as-a-Service (RaaS). Les développeurs créent le malware et l'infrastructure, les affiliés mènent les attaques, et les revenus sont partagés. En 2026, cet écosystème continue d'évoluer malgré les opérations policières.

Le modèle RaaS

Le Ransomware-as-a-Service fonctionne comme un modèle de franchise :

  • Les opérateurs développent le ransomware, maintiennent l'infrastructure (sites de négociation, portails de paiement, sites de fuites) et fournissent le support technique
  • Les affiliés achètent l'accès au ransomware, mènent les attaques (intrusion, mouvement latéral, exfiltration, déploiement) et négocient avec les victimes
  • Le partage des revenus : typiquement 20-30% pour l'opérateur, 70-80% pour l'affilié

    • Cl0p : le spécialiste de l'exploitation de zero-days

    Cl0p (aussi écrit Clop) se distingue par sa stratégie : plutôt que de chiffrer les données, il les vole via des vulnérabilités zero-day dans des logiciels de transfert de fichiers.

    Opérations majeures :

  • Accellion FTA (2021) : exploitation de vulnérabilités dans Accellion File Transfer Appliance
  • GoAnywhere MFT (2023) : CVE-2023-0669, touché 130+ organisations
  • MOVEit Transfer (2023) : CVE-2023-34362, touché 2 500+ organisations

    • Particularité : Cl0p ne chiffre pas les systèmes. Il exfiltre les données et menace de les publier. C'est de l'extorsion pure, sans la composante ransomware traditionnelle. Cette approche est plus rapide et ne nécessite pas de déployer un malware persistant.

    LockBit : le plus prolifique

    LockBit a été le groupe de ransomware le plus actif entre 2022 et 2024, revendiquant plus de victimes que tout autre groupe. En février 2024, l'opération Cronos (Europol, FBI, NCA) a démantelé une partie de son infrastructure, mais le groupe a tenté de se relancer.

    Caractéristiques :

  • Programme d'affiliés très ouvert (faible barrière d'entrée)
  • Chiffrement rapide (LockBit 3.0 utilise un ransomware optimisé pour la vitesse)
  • Programme de bug bounty pour son propre malware
  • Double extorsion systématique (chiffrement + vol de données)

    • Après Cronos : LockBit a perdu la confiance de ses affiliés. Beaucoup ont migré vers d'autres plateformes. En 2026, le groupe tente de maintenir sa pertinence mais son influence a diminué.

    ALPHV/BlackCat : l'innovateur technique

    ALPHV (aussi connu comme BlackCat) se distinguait par son innovation technique : premier ransomware majeur écrit en Rust (plus rapide, plus difficile à analyser), première utilisation d'un site de fuites avec API consultable, et première publication de données volées via un clone du site web de la victime.

    Fin controversée : en décembre 2023, le FBI a saisi l'infrastructure d'ALPHV. Le groupe a tenté de se relancer, puis en mars 2024, après avoir reçu une rançon de 22 millions de dollars de Change Healthcare, ALPHV a réalisé un "exit scam" en fermant son infrastructure et en gardant l'argent, laissant ses affiliés sans paiement.

    L'évolution en 2026

    Vers l'extorsion sans chiffrement : de plus en plus de groupes adoptent le modèle Cl0p. Voler les données est plus rapide et plus discret que de chiffrer les systèmes.

    Fragmentation : après les opérations policières, les grands groupes se fragmentent en entités plus petites et plus agiles.

    Ciblage des PME : les grandes entreprises investissent dans la sécurité. Les PME deviennent des cibles plus faciles et plus nombreuses.

    Défenses

    Sauvegarde 3-2-1 : 3 copies, 2 supports différents, 1 hors site et hors ligne.

    Détection de l'exfiltration : surveillez les transferts de données inhabituels (volume, destination, horaire).

    Segmentation réseau : limitez le mouvement latéral. Un ransomware qui compromet un poste ne doit pas pouvoir atteindre les serveurs critiques.

    Patching des services exposés : les groupes comme Cl0p exploitent des vulnérabilités connues dans des services accessibles depuis internet.

    Un audit de sécurité régulier est la meilleure prévention contre le ransomware. CleanIssue identifie les surfaces d'attaque que les groupes de ransomware ciblent en priorité.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    Threat actorsAPT

    APT28 et APT29 : les opérations cyber russes décryptées

    Profils d'APT28 (Fancy Bear) et APT29 (Cozy Bear) : organisations, tactiques, opérations notables et implications pour la cybersécurité européenne.

    2026-04-12 · 8 min de lecture
    Threat actorsAPT

    Lazarus Group : l'APT nord-coréen derrière les vols de crypto et les braquages bancaires

    Profil du groupe Lazarus : tactiques, opérations majeures (Bangladesh Bank, Ronin, Bybit), outils et moyens de défense.

    2026-04-10 · 8 min de lecture
    Hacks célèbresransomware

    MOVEit 2023 : comment Cl0p a exploité un zero-day pour toucher 2 500 entreprises

    Analyse technique de la campagne Cl0p contre MOVEit Transfer en 2023 : la vulnérabilité SQLi, la chaîne d'exploitation et les leçons.

    2026-04-04 · 8 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-11

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit