Dans 90 % des incidents de ransomware en 2025, les attaquants ont exploité des firewalls via des vulnérabilités non corrigées ou des comptes compromis, selon une étude de Barracuda.
Dans 90 % des incidents de ransomware en 2025, les attaquants ont exploité des firewalls, via une vulnérabilité non corrigée ou un compte vulnérable, d’après le Barracuda Managed XDR Global Threat Report. De plus, les chiffres démontrent que pour l’attaque la plus rapide observée, il ne s’est écoulé que trois heures entre l’intrusion initiale et le chiffrement des données. Barracuda souligne par ailleurs le risque persistant des logiciels non corrigés : la vulnérabilité la plus fréquente date en effet de 2013.
Trois heures
Selon l’étude, les attaquants accèdent au réseau via des firewalls vulnérables. Ils utilisent des CVE existantes ou exploitent des comptes disposant de privilèges élevés. Une fois à l’intérieur, ils tentent de contourner la détection et de dissimuler le trafic malveillant.
L’attaque la plus rapide enregistrée par Barracuda concernait le ransomware Akira. Seules trois heures se sont écoulées entre l’intrusion initiale et le chiffrement effectif des données. Avec des délais aussi courts, les défenseurs disposent de peu de temps pour détecter les attaques et y réagir.
lire aussi
L’état réel des ransomwares en 2025 : des demandes en baisse, mais un impact durable
Dans 96 % des incidents où un mouvement latéral a été détecté, une attaque par ransomware a finalement suivi. Le mouvement latéral correspond au moment où un attaquant, après un accès initial à un point de terminaison, se propage plus loin dans le réseau. Selon le rapport, il s’agit d’un indicateur majeur d’une attaque imminente.
Anciennes vulnérabilités
Une vulnérabilité détectée sur dix concernait un exploit connu. La vulnérabilité la plus fréquente date de 2013 : CVE-2013-2566, une faille dans un algorithme de chiffrement obsolète encore présent dans les systèmes hérités et les applications embarquées. Selon les chercheurs, cela souligne le risque persistant des logiciels non corrigés.
Par ailleurs, 66 % des incidents étaient liés à la chaîne d’approvisionnement ou à un tiers. Cette part est en hausse par rapport aux 45 % de 2024. Les attaquants exploitent les points faibles des logiciels externes pour accéder à leurs cibles.
Le rapport analyse plus de deux billions d’événements informatiques collectés en 2025 via le service Managed XDR de l’entreprise. L’ensemble de données comprend près de 600 000 alertes de sécurité et plus de 300 000 points de terminaison, fireawalls, serveurs et environnements cloud sécurisés.