Barracuda full logo

Le ransomware Qilin monte en puissance en 2026

Thèmes:
15 janv. 2026
|
Christine Barry

Qilin commence 2026 avec une croissance rapide, une agressivité accrue et des risques croissants alors que la surveillance s’intensifie.

Ce qu’il faut retenir

  • Qilin accélère, et ne ralentit pas. Avec 55 victimes déjà enregistrées début 2026, il est en avance son rythme de 2025.
  • Un ciblage sans restriction augmente son profil de risque, y compris pour les organisations de santé et de service public, augmentant les chances de retombées catastrophiques.
  • La croissance du groupe est fragile. L’histoire montre que les groupes de ransomware s’effondrent souvent après des attaques à fort impact, et la stratégie agressive de Qilin l’expose à un risque similaire.

Lorsque j’ai dressé le portrait du groupe de ransomware Qilin en juillet 2025, je ne savais pas si le groupe survivrait à cette année. En février, Qilin a accédé à un prestataire clé du système de santé londonien, entraînant plus de 170 cas de préjudice pour les patients, dont deux cas de préjudice permanent ou à long terme et un décès de patient. Ce niveau de perturbation entraîne une surveillance intense et un risque opérationnel réel pour un acteur malveillant. Voici quelques exemples :

  • Darkside a succombé à des « pressions non spécifiées » de la part des États-Unis après l’attaque du Colonial Pipeline.
  • ALPHV/BlackCat a disparu après l’attaque de Change Healthcare, et bien que l’on considère généralement qu’il s’agit d’un « exit scam », on ne peut s’empêcher de se demander si le groupe n’a pas ressenti une certaine pression en retardant l’accès aux médicaments.
  • Black Basta a cessé ses activités peu de temps après qu’un de ses membres ait attaqué Ascension Health. D’autres membres de Black Basta ont exprimé leurs inquiétudes concernant cette attaque :
    • GG : « Le FBI et la CISA sont obligés de s’impliquer à 100 %, d’où le fait qu’ils vont s’en prendre durement à Black Basta. ... Nous n’allons pas nous en débarrasser maintenant et il est fort probable que le logiciel finisse à la poubelle ».
    • Tinker : « Si par malheur quelqu’un meurt… nous aurons de gros problèmes sur les bras, car cela sera considéré comme une attaque terroriste. … Je ne veux pas aller en enfer si un enfant atteint d’une malformation cardiaque décède. »

Il n’est pas rare que des groupes très médiatisés disparaissent après avoir causé une forte perturbation des ressources publiques, qu’il s’agisse de soins de santé, de carburant ou d’autres ressources essentielles.

Qilin s’est également développé rapidement. Les filiales qui ont quitté les opérations de ransomware en tant que service (RaaS) de RansomHub et LockBit ont apporté une expérience et un élan qui ont renforcé le groupe. Cela a été un bon coup de pouce pour Qilin, mais il ne s’agissait pas d’affiliés loyaux. Ils avaient déjà prouvé qu’ils quitteraient une opération RaaS au moindre signe d’instabilité. En juillet 2025, on se demandait donc si Qilin resterait une menace de taille jusqu’à la fin de l’année. Mais finalement, ce groupe est en plein essor.

Qilin a revendiqué plus de 1 000 victimes sur son site de fuite en 2025, avec un rythme de plus de 40 victimes par mois dans la seconde moitié de l’année. L’industrie manufacturière a été le secteur le plus attaqué, représentant environ 23 % de toutes les attaques répertoriées de Qilin. Le groupe affirme avoir volé 31,2 pétaoctets à ses victimes, la majorité provenant d’un seul fabricant. Ces affirmations n’ont pas été vérifiées.

Le groupe ne montre aucun signe de ralentissement. 2026 n’a commencé que depuis quelques semaines et Qilin a déjà publié 55 victimes sur son site de fuite. Ces affirmations ne sont pas vérifiées, même si certaines publications contiennent des échantillons de données (prétendument) volées. Cela place Qilin sur la bonne voie pour dépasser ses records de 2025.

Qilin est un groupe mature doté d’une plateforme sophistiquée, qui a démontré sa capacité à s’adapter à l’évolution du paysage des menaces et aux défenses du secteur. Il restera probablement l’un des principaux acteurs en matière de ransomware au premier semestre. Cependant, n’importe quel groupe peut s’effondrer lorsque les conditions sont réunies. Par exemple :  

  • Les divisions internes entraînent des fuites ou une exposition aux forces de l’ordre
  • Les attaques très médiatisées attirent trop l’attention pour que le groupe puisse continuer
  • Des perturbations majeures et durables des infrastructures peuvent forcer les affiliés à se disperser

Qilin et ses affiliés n’épargnent pas les prestataires de soins de santé, les services municipaux, les infrastructures ou toute autre entité qui soutient la santé et le bien-être publics. Ce sont ces attaques qui attirent le plus l’attention, et il suffit d’une seule attaque bien placée pour perturber les services destinés à une région ou à une population entière. Et puisqu’aucun secteur n’est à l’abri de Qilin, le groupe reste son pire ennemi. 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Max Messenger: A fake data breach with genuine consequences?
Max Messenger: A fake data breach with genuine consequences?
 Unofficial competition at the Winter Olympics: Cybercrime
Unofficial competition at the Winter Olympics: Cybercrime
 A rise in hacktivist attacks puts all web applications at risk, warns UK’s NCSC
A rise in hacktivist attacks puts all web applications at risk, warns UK’s NCSC
Gérer les menaces internes au sein de l’organisation
Gérer les menaces internes au sein de l’organisation
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.