Top 10 des ransomwares les plus dangereux en 2025

Un ransomware est un type de logiciel malveillant qui bloque l’accès aux fichiers ou menace de publier des données sensibles tant qu’une rançon n’est pas versée.

Ce qui n’était autrefois qu’un outil réservé à des groupes de hackers organisés est devenu, avec l’essor du Ransomware-as-a-Service (RaaS), un service accessible à un grand nombre de cybercriminels, même peu expérimentés.

En 2025, la menace continue de croître : les attaques sont plus fréquentes, plus rapides et plus destructrices, touchant aussi bien les PME que les infrastructures critiques.

En France, la tendance est particulièrement préoccupante : selon l’éditeur Sophos, près de 74% des entreprises déclarent avoir subi une attaque par ransomware.

Dans cet article, nous allons explorer les 10 familles de ransomwares les plus dangereuses en 2025, comprendre leur mode de fonctionnement, leurs impacts concrets et leurs méthodes de propagation.

TL;DR : Top 10 des ransomwares les plus dangereux en 2025

Ransomware	Type / Particularité clé	Impact majeur (exemple)	Méthodes principales
LockBit	RaaS, version 3.0 (LockBit Black)	+100 M$ extorqués, 44% des attaques en 2023	Phishing, failles, mdp faibles
Clop	Famille CryptoMix, double extorsion	Faille MOVEit : 2 000 organisations touchées	Vulnérabilités logicielles
Royal	Groupe indépendant, pas de RaaS	Ville de Dallas paralysée (mai 2023)	Phishing, failles systèmes
BlackCat	RaaS en Rust, double extorsion	Caesars & MGM : casinos et hôtels bloqués	Exploitation ciblée
Wiper	Malware destructif (pas d’extorsion réelle)	Ukraine : énergie & logistique sabotées	Acteurs étatiques, wipers
Hive	RaaS avec site HiveLeaks	Memorial Health US, 1 000 clés récupérées par le FBI	Phishing, Exchange, RDP
Quantum	Ultra rapide (<4h pour compromettre un réseau)	Attaque via IcedID & PsExec en 2022	Phishing, RDP, Cobalt Strike
Play	Double extorsion, cryptomonnaie	Córdoba (2022), +110 attaques T4 2023	AdFind, Cobalt Strike
Black Basta	RaaS, double extorsion	500+ org. visées, ABB gravement perturbé	ZeroLogon, PrintNightmare
Ragnar Locker	Ciblage infrastructures critiques (RDP)	DESFA (2022), démantelé en 2023	RDP, vulnérabilités Windows

Les 10 ransomwares les plus dangereux en 2025

1. LockBit

LockBit, actif depuis 2019, est l’un des ransomwares les plus répandus au monde. 

Sa version 3.0 introduit un modèle de RaaS particulièrement sophistiqué, qui permet aux affiliés de louer l’outil en échange d’une part des rançons. 

Évolutif et agressif, il a rapidement pris une place dominante sur la scène cybercriminelle.

Caractéristiques principales :

• Version 3.0 avec plateforme de rançons décentralisée.
• Options de chiffrement ciblé sur des fichiers spécifiques.
• Programme de bug bounty interne pour améliorer le malware.

Impact :

• Plus de 100 M$ extorqués (estimation 2022).
• Environ 44 % des attaques de ransomware en 2023 attribuées à LockBit.
• Victimes : santé, gouvernements, finance, mais aussi de plus en plus de PME vulnérables.

Méthodes de propagation :

• Campagnes de phishing.
• Exploitation de vulnérabilités logicielles non corrigées.
• Utilisation de mots de passe faibles.

2. Clop

Clop, actif depuis 2019, appartient à la famille des ransomwares CryptoMix.

Il s’est imposé comme l’un des plus sophistiqués en combinant chiffrement et double extorsion : les données sont chiffrées puis menacées d’être publiées si la rançon n’est pas payée.

Caractéristiques principales :

• Famille CryptoMix.
• Double extorsion (chiffrement + menace de divulgation).
• Exploitation de vulnérabilités dans des logiciels tiers (ex. : MOVEit).

Impact :

• Forte augmentation d’activité en 2023.
• Plusieurs centaines d’attaques ont été recensées dans les secteurs santé, éducation et finance.
• Attaque MOVEit (2023) : plus de 2 000 organisations touchées et 95 millions de personnes impactées.
• Extorsion de millions de dollars en rançons.

Méthodes de propagation :

• Attaques opportunistes ciblant des chaînes d’approvisionnement logicielles.
• Exploitation de failles dans des logiciels tiers (notamment MOVEit).

3. Royal

Le ransomware Royal, apparu en 2022, s’est très vite fait une place parmi les cybermenaces les plus redoutées.

Contrairement à de nombreux autres groupes qui utilisent le modèle de Ransomware-as-a-Service, Royal fonctionne de manière indépendante.

Cela signifie que le même groupe conçoit, diffuse et gère ses attaques, ce qui lui permet de garder un contrôle total sur ses opérations.

Ses cibles sont généralement de grandes entreprises internationales, infrastructures critiques et organismes gouvernementaux.

Caractéristiques principales :

• Fonctionnement indépendant, sans recours au modèle RaaS.
• Utilisation de techniques de chiffrement très avancées.
• Pratique de la double extorsion : les fichiers sont chiffrés et les données sensibles menacées de divulgation si la rançon n’est pas payée.

Impact :

• Les rançons exigées atteignent régulièrement plusieurs millions de dollars.
• En mai 2023, la ville de Dallas (Texas) a été frappée : services municipaux paralysés, dont la police, et diffusion de notes de rançon via les imprimantes du réseau interne.
• Cet épisode a entraîné des interruptions graves de services essentiels, obligeant les autorités à une réponse d’urgence.

Méthodes de propagation :

• Envoi d’emails de phishing pour obtenir un premier accès.
• Exploitation de failles de sécurité dans des systèmes insuffisamment protégés.

4. BlackCat

Apparu en 2021, BlackCat, fonctionnant sur le modèle du RaaS s’est rapidement distingué par son approche technique et son efficacité. 

L’une de ses particularités est d’être écrit en Rust, un langage de programmation qui complique les analyses par les experts en cybersécurité et rend le ransomware plus difficile à détecter. 

Comme beaucoup d’autres familles récentes, BlackCat pratique aussi la double extorsion : il chiffre les données puis menace de les divulguer si la rançon n’est pas payée.

Caractéristiques principales :

• Fonctionne en modèle RaaS (location aux affiliés).
• Développé en Rust, ce qui le rend plus complexe à analyser.
• Utilisation de la double extorsion (chiffrement + menace de divulgation).

Impact :

• Avril 2023 : cyberattaque contre NCR (National Cash Register), perturbant la plateforme de paiement Aloha POS utilisée dans de nombreux restaurants. Résultat : terminaux bloqués pendant plusieurs jours.
• Septembre 2023 : attaques contre les chaînes de casinos et hôtels Caesars et MGM, causant des perturbations massives dans les systèmes informatiques et même dans les machines à sous.

Méthodes de propagation :

• Utilisation par des affiliés qui choisissent leurs propres vecteurs d’attaque.
• Exploitation de failles logicielles et campagnes ciblées adaptées à chaque victime.

5. Wiper Ransomware

Contrairement aux ransomwares classiques qui chiffrent les données pour exiger une rançon en échange d’une clé de déchiffrement, les wipers vont plus loin.

Ils combinent chiffrement et destruction définitive des fichiers, ce qui signifie que même si une rançon est payée, les données ne peuvent pas être restaurées.

Leur objectif n’est donc pas l’extorsion financière, mais avant tout le sabotage et la perturbation des activités de la victime.

Caractéristiques principales :

• Conçus pour détruire les données de façon irréversible, en plus du chiffrement.
• Utilisés principalement à des fins de sabotage plutôt que d’extorsion.
• Variantes connues : HermeticWiper et CaddyWiper.

Impact :

• Utilisation accrue en 2023, particulièrement dans un contexte de conflits géopolitiques.
• Attaques contre des entreprises énergétiques et logistiques en Ukraine.
• Perturbations massives rendant impossible toute récupération de données.

Méthodes de propagation :

• Déploiement par des acteurs généralement appuyés par des États.
• Exemple : le groupe Sandworm, connu pour cibler des infrastructures critiques civiles et militaires.

6. Hive

Le ransomware Hive est apparu en 2021 et fonctionne aussi en RaaS. Les secteurs critiques comme la santé, les infrastructures publiques et les services financiers ont été parmi ses principales cibles, ce qui a renforcé son image de menace majeure.

Caractéristiques principales :

• Fonctionne en RaaS avec un réseau d’affiliés.
• Chiffrement des fichiers suivi de menaces de divulgation via le site HiveLeaks.
• Ciblage privilégié des secteurs sensibles (santé, services publics, finance).

Impact :

• 2022 : attaque contre le système de santé Memorial aux États-Unis, entraînant l’annulation d’opérations chirurgicales et un retour temporaire aux dossiers papier.
• Janvier 2023 : opération du FBI et d’agences internationales qui ont infiltré Hive, récupérant plus de 1 000 clés de déchiffrement et évitant le paiement de millions de dollars en rançons.
• Démantèlement officiel du groupe en 2023, mais certaines méthodes continuent d’être réutilisées par d’anciens affiliés.

Méthodes de propagation :

• Campagnes de phishing.
• Exploitation de vulnérabilités, notamment sur Microsoft Exchange.
• Utilisation du Remote Desktop Protocol (RDP) pour se déplacer latéralement dans les réseaux.

7. Quantum

Le ransomware Quantum, apparu en 2021, est particulièrement redouté pour sa rapidité d’exécution.

Contrairement à d’autres familles qui prennent du temps pour préparer leurs attaques, Quantum est capable de prendre le contrôle complet d’un réseau en moins de quatre heures.

Cette vitesse en fait une menace très difficile à contrer une fois qu’elle a pénétré dans un système.

Caractéristiques principales :

• Capacité à compromettre un réseau en moins de 4 heures.
• Utilisation d’outils offensifs comme Cobalt Strike pour le déplacement latéral.
• Ciblage privilégié des grandes entreprises avec des environnements complexes.

Impact :

• Avril 2022 : attaque marquante où Quantum a été déployé après l’utilisation d’IcedID comme point d’entrée initial.
• Les attaquants ont exploité le Remote Desktop Protocol (RDP) et utilisé PsExec pour propager rapidement le ransomware.
• Conséquence : chiffrement massif et rapide des systèmes cibles, paralysant les activités.

Méthodes de propagation :

• Emails de phishing servant de porte d’entrée.
• Exploitation de vulnérabilités réseau.
• Propagation interne via RDP et outils comme PsExec.

8. Play Ransomware

Le ransomware Play, apparu en 2022, repose sur un modèle de double extorsion : les cybercriminels exfiltrent d’abord des données sensibles, puis les chiffrent.

Les victimes sont alors menacées de voir leurs informations publiées si elles refusent de payer.

Caractéristiques principales :

• Utilisation de la double extorsion (exfiltration + chiffrement).
• Notes de rançon envoyées avec des instructions de contact par email.
• Paiements exigés en cryptomonnaie.

Impact :

• Août 2022 : cyberattaque contre le gouvernement de Córdoba (Argentine), paralysant les services publics pendant plusieurs jours.
• Autres victimes notables : entreprises du secteur des infrastructures critiques et de la santé en Europe et aux Amériques.
• 2023 : plus de 110 attaques documentées au quatrième trimestre, faisant de Play l’un des groupes les plus prolifiques derrière LockBit.

Méthodes de propagation :

• Techniques rendant les attaques difficiles à détecter et à bloquer.
• Utilisation d’outils comme AdFind pour cartographier le réseau.
• Recours à Cobalt Strike pour se déplacer latéralement dans les systèmes.

9. Black Basta

Le ransomware Black Basta, qui fonctionne selon un modèle de RaaS, est considéré comme l’un des groupes les plus dangereux de ces dernières années.

Sa stratégie repose sur la double extorsion : les données sont à la fois chiffrées et menacées de divulgation si la rançon n’est pas versée.

Ce mode opératoire accroît considérablement la pression exercée sur les victimes.

Caractéristiques principales :

• Modèle RaaS, permettant à de nombreux affiliés de lancer des attaques.
• Utilisation de la double extorsion.
• Exploitation de failles de sécurité connues pour prendre le contrôle des systèmes.

Impact :

• 2023 : plus de 500 organisations touchées dans le monde.
• Cibles majeures : secteurs critiques comme la santé et l’énergie.
• Exemple marquant : cyberattaque contre ABB, multinationale suisse spécialisée dans l’automatisation et le contrôle industriel. Résultat : perturbations opérationnelles importantes et retards de projets.

Méthodes de propagation :

• Exploitation de vulnérabilités connues telles que ZeroLogon et PrintNightmare pour élever les privilèges.
• Utilisation d’outils offensifs comme Cobalt Strike pour se déplacer latéralement.
• Exfiltration des données via Rclone vers des serveurs externes.

10. Ragnar Locker

Le ransomware Ragnar Locker, actif depuis 2019, s’est fait un nom grâce à ses attaques particulièrement ciblées contre les infrastructures critiques.

Ses victimes principales se trouvent dans les secteurs de l’énergie et de la santé, des domaines où une paralysie des systèmes peut avoir des conséquences immédiates et graves.

Ragnar Locker est surtout connu pour exploiter des failles dans les systèmes Windows, notamment via le Remote Desktop Protocol (RDP), afin d’obtenir un accès initial aux réseaux.

Caractéristiques principales :

• Actif depuis 2019.
• Ciblage prioritaire des infrastructures critiques.
• Exploite des vulnérabilités Windows pour infiltrer les systèmes (notamment via RDP).

Impact :

• 2022–2023 : intensification des attaques en Europe et aux États-Unis.
• Août 2022 : cyberattaque contre DESFA, l’opérateur grec de gaz naturel, entraînant une perturbation majeure du réseau et des opérations.
• Octobre 2023 : démantèlement international du groupe, avec arrestations et saisie de serveurs.
• Avant son démantèlement, Ragnar Locker avait déjà visé plus de 50 entités critiques aux États-Unis, selon le FBI.

Méthodes de propagation :

• Exploitation de failles de sécurité dans les systèmes Windows.
• Utilisation du Remote Desktop Protocol (RDP) pour obtenir un accès initial.
• Stratégies d’attaque inspirant encore aujourd’hui d’autres groupes de ransomware.

Rester informé pour mieux se protéger avec Sensibilisation Cybersécurité

Sensibilisation Cybersécurité est un site de référence dédié à la vulgarisation des menaces informatiques et à la formation à la cybersécurité.

Notre objectif est simple : aider les organisations et les particuliers à comprendre les risques, à reconnaître les attaques et à adopter de meilleures pratiques de protection.

En explorant nos ressources, vous trouverez des guides pratiques, des analyses de menaces comme celles sur les ransomwares, et des conseils concrets pour rester un pas en avance sur les cybercriminels.

FAQ

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel malveillant qui chiffre vos données et demande une rançon pour les restituer. Ces attaques peuvent toucher aussi bien des particuliers que des entreprises de toute taille.

Comment se propage un ransomware ?

Principalement par phishing, failles de sécurité non corrigées et mots de passe faibles. Une fois installé, il peut se propager rapidement à l’ensemble du réseau interne.

Peut-on éviter une attaque ransomware ?

Oui, en appliquant les mises à jour, en sauvegardant régulièrement et en sensibilisant les utilisateurs. La prévention reste la défense la plus efficace face à cette menace.