les démantèlements nourrissent une fragmentation croissante

Les démantèlements de groupes de rançongiciels perturbent momentanément leurs opérations mais génèrent un effet inattendu : la prolifération de nouvelles entités criminelles. MalwareBytes recense 41 nouveaux gangs entre juillet 2024 et juin 2025, portant à plus de 60 le nombre d’acteurs actifs en parallèle. ZATAZ, par exemple, via son Service de Veille, suit 330 groupes différents. Chaque année, environ 50 groupes émergent tandis que 30 disparaissent, maintenant un niveau constant de menace. Cette fragmentation est nourrie par la baisse des barrières techniques, l’usage de l’intelligence artificielle et la diffusion d’outils criminels clé en main. L’écosystème cyber criminel se réinvente donc à chaque offensive des forces de l’ordre, rendant la lutte plus complexe et appelant à des stratégies dépassant le seul démantèlement.

Croissance des groupes et éclatement du paysage

Le marché du rançongiciel^[7] ne s’essouffle pas. Selon les données collectées, 41 nouveaux groupes sont apparus entre juillet 2024 et juin 2025, un rythme soutenu qui porte à plus de 60 le nombre de gangs actifs simultanément. Cette présence simultanée est inédite, elle témoigne d’une transformation profonde : le paysage cyber criminel n’est plus dominé par quelques cartels structurés, mais par une myriade d’acteurs.

L’évolution suit une tendance désormais installée. Chaque année, environ 50 nouveaux groupes surgissent et près de 30 cessent leurs activités. Certains disparaissent sous la pression policière, d’autres ferment volontairement après des querelles internes ou des conflits financiers. Le résultat est un équilibre paradoxal : un flux constant d’entrées et de sorties qui maintient le niveau global de menace, tout en fragmentant les structures.

Ce phénomène change la nature même du risque. Là où les grandes organisations concentraient la visibilité et pouvaient être ciblées par des opérations internationales coordonnées, les petits groupes actuels fonctionnent en essaim. Ils apparaissent, frappent quelques entreprises ou institutions, puis disparaissent ou se recomposent ailleurs. La volatilité devient un atout tactique, rendant la surveillance plus complexe et réduisant l’efficacité des démantèlements ponctuels.

Les chercheurs en cybersécurité observent aussi un changement de modèle. Les groupes historiques fonctionnaient selon une hiérarchie claire, souvent autour d’un rançongiciel vedette. Les nouvelles formations privilégient la souplesse : petites équipes, infrastructures minimales, capacités d’attaque concentrées. Chacun d’eux mène en moyenne cinq opérations par mois, ciblant entreprises, administrations locales ou hôpitaux. La quantité d’attaques reste élevée, mais leur dispersion rend la défense plus ardue.

Barrières réduites, outils accessibles et essor de l’IA

L’un des moteurs de cette prolifération tient à la baisse drastique des barrières techniques. Là où il fallait auparavant concevoir un rançongiciel^[9] sophistiqué et bâtir un réseau de distribution, il est aujourd’hui possible d’acheter ou de louer l’arsenal nécessaire. Les plateformes de « Ransomware-as-a-Service » (RaaS) fournissent code, manuels et support technique, transformant le cybercrime en activité quasi industrielle.

La banalisation des outils joue un rôle central. Des malwares prêts à l’emploi circulent sur les forums clandestins, accompagnés de tableaux de bord conviviaux. L’affilié n’a plus besoin d’être un expert en programmation : il choisit sa cible, applique le logiciel, puis partage la rançon avec le fournisseur. Cette logique de franchise criminelle favorise une multiplication d’acteurs opportunistes, sans expérience profonde mais capables de causer des dommages réels.

L’intelligence artificielle amplifie ce mouvement. Les attaquants exploitent des outils d’IA pour automatiser la rédaction de courriels de phishing, générer des codes d’intrusion ou analyser des systèmes vulnérables. L’IA réduit encore la dépendance aux compétences humaines, offrant un gain de productivité significatif aux cybercriminels novices. Là où un piratage nécessitait autrefois une préparation minutieuse, des scripts semi automatisés permettent aujourd’hui de déployer une attaque en quelques heures.

La diffusion des savoir-faire contribue aussi à l’élargissement du vivier criminel. Les forums clandestins, accessibles via le dark web, regorgent de tutoriels et de guides pas-à-pas. Certains incluent même des formations vidéo. Le résultat est une génération nouvelle de cybercriminels formés rapidement, sans expérience préalable, mais capables de lancer des opérations. Les barrières culturelles et techniques qui limitaient autrefois l’entrée sur ce marché se sont effondrées.

Cette accessibilité nourrit la concurrence. Les grands gangs ne peuvent plus imposer leur monopole : les affiliés se détachent pour lancer leurs propres opérations, souvent avec un logiciel cloné ou adapté. Le marché devient fluide, mouvant, difficile à contrôler. Ce foisonnement favorise la fragmentation observée par les chercheurs et réduit l’efficacité des actions ciblées contre un seul groupe dominant.

Démantèlements policiers et effet boomerang

Les forces de l’ordre multiplient les coups de filet. Les opérations internationales coordonnées, appuyées par Europol, le FBI et d’autres agences, ont récemment visé LockBit, Hive ou encore Ragnar Locker. Ces offensives combinent saisies de serveurs, arrestations et blocage d’infrastructures de paiement. Elles sont spectaculaires et médiatisées, affichant un message clair : aucun groupe n’est intouchable.

Le Service de Veille de ZATAZ a repéré une forte diversification : Vicesociety, Toufan, NoEscape, Meow, Blacksuit, Bianlian, Medusa prennent de la place. Beaucoup enregistrent leur première activité significative en 2025.

Mais ces actions produisent un effet secondaire. Lorsqu’un gang est neutralisé, ses affiliés se dispersent. Certains rejoignent des concurrents, d’autres créent de nouvelles structures. L’opération « Cronos »^[10], qui a perturbé LockBit en février 2024, illustre cette dynamique. Le groupe, alors considéré comme le plus puissant, a rapidement vu émerger une constellation de collectifs issus de ses anciens membres. La marque disparaît, mais l’écosystème persiste, voire se démultiplie.

Le cas de Hive, démantelé en janvier 2023, a suivi la même logique. Ses affiliés se sont tournés vers d’autres plateformes, renforçant les rivaux. Chaque démantèlement alimente donc paradoxalement la concurrence. L’effet boomerang complique la lutte : neutraliser un groupe peut accélérer la création de plusieurs successeurs plus difficiles à identifier.

Les démantèlements fragilisent aussi la confiance interne. Les cybercriminels soupçonnent parfois leurs partenaires d’avoir collaboré avec les forces de l’ordre. La défiance mine les alliances, déclenche des fuites et provoque de nouvelles scissions. Cette méfiance alimente la dynamique de fragmentation. Là où la police cherchait à briser un cartel, elle déclenche un éclatement incontrôlé.

Cette évolution n’est pas sans rappeler des logiques observées dans d’autres sphères criminelles. Dans le narcotrafic, la neutralisation d’un cartel puissant entraîne souvent l’émergence de groupes plus petits et plus violents. La cybercriminalité suit une trajectoire comparable, adaptée à son environnement numérique. Une fragmentation accrue qui, au lieu d’un seul “mastodonte” (comme Lockbit), voit l’émergence de dizaines de groupes moyens et petits. Un cycle classique qui ZATAZ voit depuis des années. De grands collectifs démantelés amène aux scissions, création de micros  groupes avec une montée en puissance rapide.

Pour les défenseurs, la leçon est claire : la stratégie de démantèlement seule ne suffit pas. Elle interrompt, mais ne détruit pas. Le cycle de recomposition continue tant que les outils, les connaissances et les flux financiers demeurent disponibles. L’ère des « super-cartels » de ransomware semble s’estomper au profit d’une myriade de groupes moyens. Certains n’hésitent pas à renaître sous de nouveaux noms ou à se scinder, brouillant davantage les pistes des enquêteurs. Le cas de Blacksuit, Bianlian ou encore Medusa illustre cette nouvelle dynamique. Regardez Clop, passer de 50 attaques en 2024 à 403 en 2025 (+706 %). Qilin, de 182 à 488 (+168 %). Akira, 315 à 451 (+43 %) ou encore SafePay: 46 → 267 (+480 %).

Le paysage du rançongiciel se recompose en permanence. Les opérations policières perturbent les géants établis mais accélèrent la multiplication de petits groupes. Le résultat est une menace plus diffuse, agile et imprévisible. Pour contrer ce cycle, la stratégie doit dépasser le simple démantèlement. Elle doit viser les infrastructures de distribution, les flux financiers clandestins, les outils partagés et les mécanismes d’affiliation. La question reste entière : comment frapper au cœur d’un écosystème décentralisé qui prospère sur sa propre fragmentation ?