D’après les chiffres du European Threat Landscape Report de CrowdStrike pour 2025, les organisations européennes sont en première ligne des ransomwares et de l’extorsion, et concernent près de 22 % des victimes, se plaçant juste derrière l’Amérique du Nord.
L’Europe est une cible privilégiée pour la diffusion des ransomwares et la tendance ne semble pas prête de s'inverser. Selon un rapport de CrowdStrike, 22 % de l’ensemble des victimes figurant sur les sites de fuite de données (DLS, Dedicated Leak Sites) sont basées en Europe, et le nombre d’entrées sur ces sites a augmenté de 13 % sur un an (entre septembre 2024 et août 2025, ndlr), passant d’environ 1 220 à 1 380. 2 100 victimes ont été recensées en Europe depuis le 1er janvier 2024.
Entre janvier 2024 et septembre 2025, les groupes les plus actifs et ayant fait le plus de victimes sur le Vieux Continent sont : Bitwise Spider, Punk Spider, Occular Spider, Traveling Spider et Brain Spider, malgré des opérations policières qui ont perturbé leurs activités.
« Les niveaux d’activité des affiliés de Bitwise Spider ont fortement diminué à la suite de l’opération multinationale Operation Cronos. Une autre opération conjointe, Operation Phobos Aetor, a permis la saisie du DLS 8Base de Brain Spider et l’arrestation de quatre opérateurs présumés du ransomware 8Base », rappelle CrowdStrike.
Un vishing sur mesure
L’éditeur a identifié des tactiques, techniques et procédures (TTP) similaires entre les groupes, allant de l’extraction d’identifiants à partir des bases de données de sauvegarde et de restauration, au chiffrement à distance de fichiers et à l’exécution du ransomware — souvent depuis un système non géré —, à l’exploitation de l’accès à des systèmes non gérés pour voler des données et déployer des ransomwares, ainsi qu’au déploiement de ransomwares Linux sur des infrastructures VMware ESXi.
CrowdStrike a en outre remarqué que, depuis 2024, les cybercriminels ont de plus en plus recours au vishing pour obtenir un accès initial. Pour rappel, cette technique d’ingénierie sociale consiste à contacter une victime pour l’inciter à fournir ses identifiants. Afin de maximiser les chances de réussite, certains acteurs de la menace ont même employé des locuteurs natifs du pays ciblé. Le groupe Plump Spider a ainsi fait appel à des germanophones pour diffuser les malwares TeamViewer et SH RAT dans les systèmes d’information d’entités basées en Allemagne.
Selon les conclusions de l’éditeur, il faut s’attendre à ce que les extorsions de données et les ransomwares demeurent à un niveau élevé en Europe, « compte tenu de l’impact des intrusions réussies » et de l’appétence des cybercriminels pour les cibles du Vieux Continent.
