Netcrook Logo
👤 SECPULSE
🗓️ 08 Feb 2026   🗂️ Cyber Warfare    

Au cœur de la double menace : comment les gangs de ransomware « Cross » exploitent le cyber-onderground

Une nouvelle génération d’acteurs du ransomware franchit les frontières - entre extorsion, collaboration et chaos.

C’était un lundi comme les autres pour l’équipe de sécurité d’un fabricant européen de taille moyenne - jusqu’à ce que les écrans s’éteignent et qu’une note de rançon glaçante apparaisse, signée simplement : Cross. Mais ce qui distinguait cette attaque, ce n’était pas seulement la demande ou les fichiers chiffrés. Les enquêteurs ont découvert en coulisses une toile complexe reliant plusieurs gangs de ransomware, des sites de fuite de données et même des groupes criminels rivaux. Bienvenue dans l’ère du ransomware « cross » - un phénomène où les acteurs de la menace collaborent, échangent des victimes et brouillent les frontières de la concurrence dans la cybercriminalité.

Anatomie d’une attaque « Cross »

Traditionnellement, les gangs de ransomware opéraient en vase clos, protégeant jalousement leur code, leur infrastructure et leurs listes de victimes. Mais la dernière vague - repérée sur des agrégateurs de fuites comme Ransomfeed - montre un changement. Les gangs collaborent désormais, échangent l’accès à des réseaux compromis et vendent même les données des uns et des autres. Dans certains cas, les fichiers d’une victime apparaissent sur plusieurs sites d’extorsion, différents groupes revendiquant le mérite de l’attaque.

Cette approche « cross » ne vise pas seulement le partage des profits. C’est une tactique de survie. À mesure que la pression des forces de l’ordre s’intensifie, les gangs se fragmentent et se regroupent, formant des alliances fluides. Ils tirent parti des compétences des uns et des autres - un groupe peut se spécialiser dans le phishing, un autre dans le chiffrement, un troisième dans la négociation des rançons. Résultat : des attaques plus rapides, une portée élargie et des menaces plus complexes.

Pour les victimes, c’est un cauchemar. Payer un groupe ne garantit pas la sécurité ; un autre peut toujours divulguer ou vendre les données. Les experts en sécurité avertissent que les méthodes traditionnelles - identifier l’attaquant, négocier ou restaurer à partir de sauvegardes - sont moins efficaces. La collaboration entre groupes entraîne aussi de nouvelles souches de malwares hybrides et des schémas d’attaque imprévisibles.

Pourquoi maintenant ? Le nouveau marché noir du Dark Web

Qu’est-ce qui motive cette évolution ? Les sources pointent la montée du cybercrime-as-a-service : des places de marché où identifiants, exploits et même « kits de ransomware » s’achètent et se vendent. Avec autant d’acteurs, les alliances sont inévitables - et les trahisons aussi. Les sites de fuite comme ceux suivis par Ransomfeed sont devenus à la fois une arme et un tableau de chasse, où les gangs exhibent leurs conquêtes et provoquent leurs rivaux.

Les forces de l’ordre font face à une hydre : couper une tête, et d’autres repoussent, souvent plus sophistiquées. La pollinisation croisée des tactiques et des outils rend la traque des attaques - et la poursuite des auteurs - bien plus difficile.

Conclusion : Se défendre sous le feu croisé

Le phénomène « cross » montre que la cybercriminalité n’est plus un jeu de loup solitaire. À mesure que les gangs de ransomware s’allient et s’adaptent, les défenseurs doivent faire de même - partager le renseignement, mettre à jour leurs méthodes et se préparer à des attaques qui ne correspondent plus aux anciens schémas. Au final, la seule certitude est le changement - et la nécessité d’une vigilance accrue à une époque où la frontière entre allié, ennemi et victime est plus floue que jamais.

WIKICROOK

  • Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
  • Site de fuite de données : Un site de fuite de données est un site web où les cybercriminels publient des données volées pour faire pression sur les victimes ou prouver leurs attaques, souvent dans les cas de ransomware.
  • Double extorsion : La double extorsion est une tactique de ransomware où les attaquants chiffrent les fichiers et volent aussi des données, menaçant de les divulguer si la rançon n’est pas payée.
  • Cybercriminalité : La cybercriminalité est une activité illégale menée à l’aide d’ordinateurs ou d’internet, incluant le piratage, la fraude en ligne, le vol d’identité et les violations de données.
  • Attribution : L’attribution est le processus visant à déterminer qui est à l’origine d’une cyberattaque, en utilisant des indices techniques et des analyses pour identifier le responsable.
Ransomware Cybercrime Double Extortion
SECPULSE SECPULSE
SOC Detection Lead
← Back to news