Base de Données des Demandes de Rançon (2026) : Identifiez votre Attaquant

CyberLord Threat Intel

Base de Données des Demandes de Rançon (2026) : Identifiez votre Attaquant

Le lundi matin, vous arrivez au bureau. Personne ne peut ouvrir ses fichiers. Les icônes Excel ont été remplacées par des pages blanches avec des extensions bizarres comme .enc ou .lockbit. Et dans chaque dossier, un fichier texte nommé RESTORE_FILES.txt.

C'est la Ransom Note (la demande de rançon).

Ce document est terrifiant, mais c'est aussi votre premier indice forensique. Il contient la signature de l'attaquant. Savoir à qui vous avez affaire est crucial pour la gestion de crise :

  • Est-ce un groupe "réputé" qui rendra les clés si vous payez ? (Comme LockBit).
  • Est-ce un groupe destructeur ou amateur qui ne rendra rien ?
  • Sont-ils sous sanctions internationales ? (Ce qui rend le paiement illégal).

Voici l'analyse des groupes les plus actifs en France en 2025/2026.

1. LockBit 4.0 / 5.0 (Le Leader du Marché)

Profil : Le "McDonald's" du ransomware. Très professionnel, orienté service client. Ils visent tout le monde, des hôpitaux aux mairies. Extension de fichier : .lockbit, .lb, ou aléatoire. Nom de la note : RESTORE-MY-FILES.txt

Analyse de la Note : Le ton est courtois, presque commercial. "Vos données sont volées et chiffrées. Ne paniquez pas, nous pouvons tout restaurer. Nous sommes une entreprise, traitez ça comme un audit de sécurité payant."

Ils incluent souvent :

  • Un lien vers leur site sur Tor (.onion).
  • Un "Chat ID" personnel pour discuter avec le support.
  • Une offre de "Déchiffrement gratuit" d'un fichier test pour prouver leur bonne foi.

Dangerosité : Extrême. Ils exfiltrent toujours les données et publient très vite sur leur blog si vous ne payez pas.

2. ALPHV / BlackCat

Profil : Groupe techniquement très avancé (codé en Rust). Agressif et arrogant. Extension de fichier : Aléatoire (7-10 caractères). Nom de la note : RECOVER-[RANDOM]-FILES.txt ou changement du fond d'écran.

Analyse de la Note : Leur note est souvent plus menaçante. Ils y mettent la pression immédiatement. Elle contient souvent une liste spécifique des données volées pour vous faire peur : "Nous avons vos bilans financiers, les données RH, etc.". Ils utilisent un site web dédié par victime avec une clé d'accès unique.

3. Akira

Profil : Cible particulièrement les PME et ETI françaises en exploitant des failles VPN (Cisco). Extension de fichier : .akira Nom de la note : akira_readme.txt

Analyse de la Note : Style "Rétro" années 80 (lignes de commande vertes). Le message est concis : "Traitez avec nous si vous voulez revoir vos données." Leur site de négociation ressemble à un vieux terminal informatique. Ils sont connus pour être difficiles en négociation.

4. 8Base

Profil : Un groupe opportuniste en pleine ascension en 2025. Extension de fichier : .8base Nom de la note : info.txt ou help.txt

Analyse de la Note : Très générique. Ils se présentent comme des "auditeurs honnêtes". Ils utilisent souvent des méthodes de double extorsion agressives mais leurs outils techniques sont parfois moins stables (risque de corruption de fichiers même après paiement).

Que faire si vous trouvez une note ?

1. Ne rien toucher, ne rien éteindre

Si le chiffrement est en cours, débranchez le câble réseau (ou le Wi-Fi), mais n'éteignez pas le serveur. Éteindre brutalement peut corrompre les fichiers en cours de chiffrement et détruire des preuves dans la mémoire RAM (clés de chiffrement résidentes).

2. Ne supprimez pas la Note

C'est la preuve n°1. Les experts en cybersécurité en ont besoin pour l'analyse.

3. Utilisez "ID Ransomware"

Le site ID Ransomware (maintenu par la communauté sécu) est une ressource inestimable.

  • Uploadez la Note de rançon.
  • Uploadez un fichier chiffré échantillon.
  • Le site vous dira quel est le virus. Parfois, pour les vieux virus ou ceux avec des failles, un outil de déchiffrement gratuit existe (grâce au projet NoMoreRansom d'Europol).

4. Ne contactez pas les pirates vous-même

Toute interaction (visiter le site Tor, entrer dans le chat) donne des infos aux pirates (votre adresse IP, votre niveau de panique). Laissez des négociateurs professionnels gérer ça. Une mauvaise parole ("On a une assurance cyber") peut faire doubler le prix de la rançon.

Conclusion

La Ransom Note est le point de départ de l'enquête. Elle permet de savoir si vous faites face à des professionnels du crime organisé (avec qui on peut parfois négocier, même si c'est déconseillé) ou à des vandales.

Chez Cyberlord, notre équipe de réponse aux incidents (CSIRT) analyse ces notes pour vous donner une évaluation rapide de la situation : Est-ce récupérable ? Faut-il reconstruire ?

Contacter notre Urgence Cyber

Aperçu

Décisions clés, risques et actions de mise en oeuvre pour ce sujet.