Rançongiciels DragonForce, Qilin et LockBit : une nouvelle alliance ?

Cette déclaration fait suite aux opérations internationales de démantèlement qui ont frappé des groupes majeurs ces dernières années, tels que HIVE en janvier 2023, AlphV/BlackCat en décembre 2023 et LockBit en février 2024, alors considéré comme l’un des collectifs les plus actifs. Ces actions ne se sont pas limitées à la mise hors service des infrastructures cybercriminelles, elles ont également permis l’identification d’administrateurs et d’opérateurs Ransomware-as-a-Service (RaaS), entraînant des mandats d’arrêt internationaux et l’arrestation de membres clés.

Ces actions policières récentes ont entrainé une évolution du marché des rançongiciels. Les chiffres confirment cette situation : en 2024, les dix principaux groupes représentaient 54,8 % des revendications, avec LockBit en tête. En 2025, malgré une hausse de 61 % des revendications entre janvier et novembre 2025 par rapport à la même période en 2024, leur part tombe à 53,1 %, signe d’un paysage plus dispersé et sans acteur dominant.

Deux tendances majeures se dessinent : la fragmentation, avec une augmentation du nombre de groupes actifs (+30 % par rapport à 2024) entrainant des alliances opportunistes, et la baisse des paiements. Les organisations victimes payent en effet plus rarement, avec des montants en nette diminution. 

Pour évaluer la crédibilité de l’annonce, la branche cybersécurité de Var Group a analysé les tendances des principaux groupes de rançongiciels entre janvier et novembre 2025. Qilin domine ainsi le classement avec 13,07 % des revendications, suivi par Akira (10,85 %). DragonForce progresse lentement, mais régulièrement, tandis que LockBit n’a publié aucune revendication depuis mai, malgré l’annonce d’une version « LockBit 5.0 ». Ce silence confirme que le groupe n’a pas retrouvé ses capacités après l’Opération Cronos, qui avait révélé que la majorité de ses affiliés étaient des opérateurs inexpérimentés. Qilin a par ailleurs dépassé Akira dès septembre 2025 pour devenir le groupe le plus actif, conservant cette position jusqu’en novembre. Quant à DragonForce, ce groupe gagne en visibilité, passant de la neuvième place en août 2025 à la huitième en octobre. Ces tendances suggèrent que l’annonce a eu un impact, au moins en termes de notoriété, attirant probablement des opérateurs vers Qilin et DragonForce, même sans transfert direct depuis LockBit.

Dans le même temps, le modèle des rançongiciels évolue. Les campagnes d’exfiltration de données sans chiffrement et les techniques d’extorsion simple se multiplient, privilégiant des approches à moindre risque par rapport aux modèles traditionnels de RaaS. 

En conclusion, cette alliance peut être interprétée à la fois comme un signe d’adaptation et de croissance pour certains groupes sous forte pression, et comme une tentative pour LockBit de regagner en visibilité dans un écosystème où son poids opérationnel et réputationnel a nettement décliné. Quelle que soit la solidité de cette alliance, elle confirme l’importance d’une veille active sur les tendances, les dynamiques internes et les tactiques émergentes des acteurs de la cybercriminalité.

À cet égard, le CERT Santé met à la disposition de ses bénéficiaires une fiche réflexe pour la gestion préventive des risques associés aux rançongiciels.