Paysage de la cybercriminalité en Amérique latine et dans les Caraïbes

Executive Summary

Ce rapport donne un aperçu des tendances et des évolutions de l'écosystème cybercriminel en Amérique latine et dans les Caraïbes (ALC) en 2025. Insikt Group a constaté que acteur malveillant opérant dans la région ALC ou ciblant cette région utilise principalement des applications client-serveur et des plateformes de messagerie cryptées de bout en bout telles que Telegram, ainsi que des forums anglophones ou russophones établis dark web et à accès spécial, pour communiquer et mener des activités. acteur malveillant font preuve d'une sophistication accrue dans leurs opérations, adaptant leurs tactiques, TTPs, TTPs (TTPs) au fil du temps, tout en continuant à s'appuyer principalement sur des méthodes traditionnelles telles que l'hameçonnage et l'ingénierie sociale, la distribution de logiciels malveillants et les rançongiciels (ransomware). Sur la base de notre analyse, nous avons déterminé que le Brésil, le Mexique et l'Argentine étaient les pays les plus ciblés par les cybercriminels à motivation financière, probablement parce qu'il s'agit des plus grandes économies d'Amérique latine et des Caraïbes. En outre, sur la base de cette recherche, Insikt Group a constaté que acteur malveillant ciblait souvent des secteurs critiques tels que les soins de santé, la finance et le gouvernement parce qu'ils détiennent des données de grande valeur, font face à des urgences opérationnelles et, parfois, s'appuient sur des systèmes hérités qui peuvent être vulnérables.

Key Findings

Background

Après la pandémie de COVID-19, la région ALC a connu un développement numérique rapide qui a dépassé la maturité en matière de sécurité, entraînant une adoption asymétrique de l'informatique en nuage, une dépendance à l'égard de l'infrastructure existante et l'introduction du travail à distance dans tous les secteurs d'activité. De nombreuses organisations ont adopté des plateformes SaaS (Software-as-a-Service) sans mettre en œuvre de manière efficace des contrôles d'accès solides ou des méthodes d'authentification multifactorielle (MFA), ce qui les expose aux ransomwares et au vol de données, entre autres cyberattaques. L'instabilité économique (inflation et contrôle des changes) dans les pays d'Amérique latine et des Caraïbes a incité à la cybercriminalité tout en affaiblissant les défenses institutionnelles. L'instabilité politique, les protestations sociales et la corruption ont créé de nouvelles opportunités pour des motivations financières et politiques acteur malveillant. Des facteurs aggravants tels que le taux de chômage élevé chez les jeunes, l'inégalité des revenus et l'influence des économies informelles ont poussé les individus à chercher d'autres sources de revenus, ce qui alimente une grande partie de la cybercriminalité que nous observons aujourd'hui.

Selon un rapport du Forum économique mondial, 13% des personnes interrogées dans la région ALC ont exprimé leur manque de confiance dans la capacité de leur pays à répondre à un cyberincident important. Malgré des progrès significatifs en matière d'administration numérique, d'avancées réglementaires et d'investissements dans la région, de nombreux pays manquent encore de compétences techniques au sein de leur main-d'œuvre et de ressources pour durcir durablement leur environnement. De nombreux réseaux gouvernementaux de la région LAC contiennent de grandes quantités de données sensibles, mais leurs meilleures pratiques en matière de sécurité sont déficientes, ce qui rend leurs systèmes vulnérables aux cyberattaques. Des violations importantes sont régulièrement diffusées, recyclées et revendues sur la place de marché du dark web, ce qui permet à l'usurpation d'identité, à la fraude à l'identité synthétique, aux échanges de cartes SIM et aux prises de contrôle de comptes, entre autres types de cybercriminalité, de prospérer à grande échelle.

Bien que la région ALC ait réalisé des avancées technologiques significatives, en particulier dans le secteur des services financiers, les innovations créent de nouveaux défis. Le secteur des technologies financières a introduit des applications bancaires mobiles, des portefeuilles numériques et des systèmes de paiement instantané. Les pays d'Amérique latine et des Caraïbes sont confrontés à des niveaux croissants de fraude cybernétique dans le secteur financier parce que les systèmes de paiement en temps réel ont des contrôles de vérification d'identité plus faibles, ce qui rend les tentatives d'ingénierie sociale plus efficaces. Les systèmes de paiement instantané, tels que le système brésilien PIX et les plates-formes bancaires mobiles similaires, ont souvent été la cible de acteur malveillant. Avec des vitesses de transaction plus rapides et des volumes plus importants, les efforts de détection et de récupération sont devenus de plus en plus complexes, ce qui rend les escroqueries beaucoup plus rentables et évolutives.

La région ALC a le taux de croissance le plus rapide au monde en ce qui concerne les cyberincidents divulgués, bien que nombre d'entre eux ne soient pas signalés. Seuls sept pays d'Amérique latine et des Caraïbes ont élaboré des plans pour protéger leurs infrastructures essentielles contre les cyberattaques, et seuls vingt pays disposent d'équipes de réponse aux incidents de sécurité informatique (Computer Security incident response Teams - CSIRT). Bien que 31 pays d'Amérique latine et des Caraïbes disposent d'une forme ou d'une autre de législation sur la cybercriminalité, nombre d'entre eux sont confrontés à une pénurie de compétences, ce qui crée des obstacles à l'application de la loi. Les ressources limitées des services répressifs et le manque de fiabilité de la coopération interétatique retardent encore les enquêtes et les poursuites, ce qui permet à acteur malveillant d'opérer d'une juridiction à l'autre avec une relative facilité. La perception culturelle selon laquelle la cybercriminalité comporte peu de risques et offre de grandes récompenses sape l'effet dissuasif qu'une action policière fiable aurait autrement. Cette structure incitative, associée à une stigmatisation réduite, encourage la récidive et le recrutement, comme le montrent les tendances cybercriminelles observées par Insikt Group en 2025.

Activités cybercriminelles en Amérique latine et dans les Caraïbes

Tout au long de l'année 2025, Insikt Group a enquêté et identifié différents types de cybercriminels opérant sur clearnet et dark web sources. Les cybercriminels utilisent régulièrement le phishing pour obtenir un accès initial, et l'une des méthodes les plus courantes consiste à rechercher et à collecter des informations sensibles directement à partir du système de fichiers ou des bases de données d'un hôte compromis. Ce site TTPs est souvent une étape critique avant l'infiltration, utilisée pour obtenir des dossiers financiers, des mots de passe et d'autres formes d'informations personnelles identifiables (PII), susceptibles de conduire à des prises de contrôle de comptes ou à des fraudes. Insikt Group a révélé que les cybercriminels ont également commencé à faire évoluer leur site TTPs pour exploiter les communications en champ proche (NFC) afin de commettre des fraudes financières et utilisent des logiciels malveillants pour cibler les portefeuilles de crypto-monnaies. Insikt Group Le renseignement indique que les cybercriminels sont principalement intéressés par la vente de bases de données de compromission et de méthodes d'accès, ainsi que par la participation à des collectifs d'hacktivistes. Dans certains cas, les menaces persistantes avancées (APT) ont également commencé à chevaucher leurs activités avec la cybercriminalité lorsqu'elles ciblent la région.

Sources cybercriminelles

acteur malveillant opérant dans la région ALC ou la ciblant ont continué à s'appuyer sur l'infrastructure des forums anglophones et russophones établis tout au long de l'année 2025 (voir l'annexe A). Insikt Group a identifié des messages en espagnol et en portugais sur plusieurs forums établis dark web et des forums d'accès spécial. Même si ces sites sources sont principalement anglophones et russophones, ces messages indiquent probablement que les sites acteur malveillant ciblant l'ALC préfèrent rechercher des plates-formes traditionnelles mieux établies pour faire des affaires. La recherche a montré que les forums de niveau faible à modéré sont le plus souvent utilisés par acteur malveillant basé dans les pays de l'ALC ou ciblant ces pays, ce qui suggère peut-être des niveaux de sophistication inférieurs, car les forums de niveau supérieur exigent souvent une caution, un paiement, la démonstration de connaissances ou de capacités techniques, et parfois une invitation privée pour y accéder.

Insikt Group évalue que la plupart des communications entre acteur malveillant se font probablement sur des plateformes de messagerie cryptées telles que Telegram, WhatsApp et Signal en raison de la rapidité, de la facilité d'accès et des niveaux de confiance plus élevés entre les membres du groupe. Compte tenu des caractéristiques de protection de la vie privée de bon nombre de ces plates-formes, les efforts de collecte peuvent être nettement plus limités. Telegram est principalement utilisé parce qu'il offre de plus grandes capacités de canaux et de groupes, que la création de comptes est simple, qu'il permet à acteur malveillant de tirer parti de l'automatisation des robots et de l'assistance pour leurs activités malveillantes, et que la modération du contenu est généralement moins stricte que sur d'autres plates-formes. En offrant une voie de moindre résistance, acteur malveillant bénéficie de la confidentialité accrue qu'offrent les plateformes de messagerie chiffrée de bout en bout sans retarder leurs opérations.

Pour des raisons financières, acteur malveillant propose souvent divers types de données, notamment des informations confidentielles, des données financières, des identifiants de connexion Identifiants, des accès au système Identifiants, des exploits et vulnérabilité, des logiciels malveillants, des logiciels rançonneurs et des tutoriels de piratage. Dans certains cas, Insikt Group a observé que acteur malveillant vendait un accès à la gestion de la relation client (CRM), un accès au réseau privé virtuel (VPN) avec des privilèges d'utilisateur de domaine et des droits d'administrateur local sur un serveur de base de données, et un accès de commande et de contrôle (C2) à Entité basé à LAC en 2025. En tirant parti de cet accès à l'information, les cybercriminels peuvent faciliter d'autres délits, notamment des tentatives d'extorsion, des escroqueries par ingénierie numérique et sociale, le déploiement de ransomwares, le vol de données et la prise de contrôle de comptes. Insikt Group indique que acteur malveillant fait généralement de la publicité pour les bases de données et les données de cartes de paiement ayant fait l'objet d'une violation, car ces données peuvent être lucratives, nécessitent un niveau de sophistication relativement faible et sont recherchées par d'autres cybercriminels.

acteur malveillant ciblent souvent les systèmes gouvernementaux parce qu'ils contiennent des données très sensibles qui peuvent être utilisées à des fins d'escroquerie, d'usurpation d'identité ou d'extorsion. Par exemple, peu après des élections générales tendues, l'Assemblée nationale, le pouvoir législatif équatorien, a déclaré avoir subi deux cyberattaques visant à accéder à des données confidentielles et à perturber la disponibilité des services d'information. Dans un autre exemple, acteur malveillant a exposé des données sensibles concernant des millions de citoyens paraguayens sur le site dark web; parmi les données prétendument exfiltrées figurent des numéros d'identification nationaux, des dates de naissance, des adresses physiques et des dossiers de services de santé.

DarkForums est le principal forum du dark web et des accès spéciaux où Insikt Group a enregistré le plus grand nombre de messages relatifs à des événements liés à la cybercriminalité en espagnol et en portugais en 2025. Ce forum est un forum anglophone de bas niveau géré par des administrateurs anglophones, lancé en mars 2023 et accessible via un domaine clearnet. En outre, DarkForums a été observé en train d'héberger des bases de données divulguées et des violations de données impliquant des pays hispanophones, avec des messages décrivant la compromission de milliers d'enregistrements et de Identifiants. D'autres forums, tels que XSS, Exploit, RehubcomPro, Cracked, BreachForums 2, ProCrd et CrdPro, figuraient également parmi les forums contenant le plus de messages en espagnol et en portugais. L'annexe A présente un échantillon de fils de discussion en espagnol et en portugais provenant de ces sources.

Tactiques cybercriminelles et vecteurs d'attaque

La région ALC a une longue histoire de cybercriminalité à motivation financière ; par conséquent, Insikt Group a observé dans cette analyse que acteur malveillant continue de cibler fortement le secteur financier. acteur malveillant s'appuient généralement sur des méthodes d'accès initiales traditionnelles, telles que l'hameçonnage par courrier électronique, SMS et messages WhatsApp, l'usurpation de l'identité d'institutions financières et la demande de factures ou de paiements. acteur malveillant diffusent des leurres par le biais de liens malveillants qui redirigent vers de fausses pages de connexion et contiennent des pièces jointes malveillantes avec des liens intégrés. Nombre de ces sites TTPs sont efficaces lorsqu'ils ciblent Entité dans la région ALC, en raison de l'utilisation massive du courrier électronique et des applications de messagerie pour les affaires, ainsi que de la confiance générale dans les communications de marque. L'intelligence artificielle (AI) a introduit des méthodes plus sophistiquées dans l'écosystème cybercriminel en ALC, abaissant la barrière à l'entrée pour acteur malveillant et augmentant de manière significative l'évolutivité des attaques grâce à l'automatisation. AI aide acteur malveillant à créer des messages d'hameçonnage plus efficaces qui pourraient être générés en espagnol ou en portugais, ce qui les rendrait plus convaincants pour le public cible local. L'avènement du site AI offre également de nouvelles possibilités et de nouveaux vecteurs d'attaque que les groupes cybercriminels peuvent exploiter et qui facilitent grandement la cybercriminalité en tant que service. Les groupes criminels organisés ont intégré AI dans leurs opérations pour faciliter la contrebande de drogue, le blanchiment d'argent, la fraude cybernétique et le développement de logiciels malveillants.

Tout au long de l'année 2025, Insikt Group a observé que acteur malveillant ciblait la région ALC en compromettant le protocole de bureau à distance (RDP), les VPN et les panneaux d'administration Web, et en obtenant Identifiants à partir d'infections antérieures par des voleurs d'informations, de la réutilisation de mots de passe, d'attaques par force brute et d'autres points d'accès initiaux. D'après les données de la plateforme d'opérations de renseignement Recorded Future, il existe environ 29 000 références au site Identifiants lié à l'ALC sur le marché russe. Ces Identifiants exposés proviennent de domaines appartenant aux organisations les plus importantes (en termes de revenus) dans les secteurs de la santé, du gouvernement et de la finance dans les cinq plus grandes économies de la région ALC. Russian Market est l'une des principales places de marché du dark web pour la vente et la distribution de billes d'infostealer. La plupart de ces journaux provenaient de LummaC2 et ensuite d'Acreed Stealer, ce qui correspond à ce que l'Insikt Group a observé lors de son examen d'autres journaux d'infostealer. Il convient de noter qu'une grande partie des 29 000 Identifiants exposés sont probablement des clients de ces organisations et pas nécessairement des employés, car Recorded Future n'a pas accès aux adresses de domaine des employés en contact avec l'intérieur pour rechercher les Identifiants exposés ; toutefois, ces adresses peuvent être ajoutées par un utilisateur final. Insikt Group estime que ces vecteurs d'attaque ont probablement été efficaces pour infiltrer les systèmes des cibles dans la région ALC en raison de l'adoption croissante du travail à distance, de l'infrastructure existante dans de nombreuses institutions publiques, et de la surveillance et des ressources limitées. Insikt Group a observé acteur malveillant la publicité pour des outils de cardage, l'envoi massif de SMS et de courriels, l'échange de cartes SIM, l'assistance au piratage et d'autres services similaires sur les canaux Telegram.

En 2025, Insikt Group a observé une augmentation des nouveaux types de logiciels malveillants qui utilisent et exploitent activement la technologie NFC. Identifié pour la première fois par Threat Fabric, PhantomCard est un cheval de Troie Android, notamment une variante d'un malware-as-a-service (MaaS) relais NFC d'origine chinoise,ciblant principalement les clients des banques au Brésil. PhantomCard permet des attaques par relais en obtenant les données NFC de la carte bancaire d'une victime et en les transmettant à l'appareil de acteur malveillant pour effectuer des transactions dans des systèmes de points de vente (POS) ou des distributeurs automatiques de billets. PhantomCard est distribué via des pages web malveillantes qui se font passer pour des applications légitimes, invitant les victimes à utiliser leur carte et à saisir leur numéro d'identification personnel (PIN) pour s'authentifier. Une fois que Identifiants a été obtenu frauduleusement, il est transmis aux attaquants.
De même, fin 2025, acteur malveillant a déployé RelayNFC, un logiciel malveillant mobile qui cible les cartes de paiement sans contact, dans un site d'hameçonnage Campagne ciblant les utilisateurs brésiliens. Cette évolution du site TTPs est parallèle au passage de acteur malveillant de l'écrémage des données des bandes magnétiques à l'écrémage des données des puces Europay, Mastercard et Visa (EMV) dans l'écosystème de la fraude aux paiements, puisque des solutions cybercriminelles uniques suivent généralement les nouvelles innovations en matière de sécurité.

Selon le 2025 Cybercriminal Cryptocurrency Annual Activity Report, l'Insikt Group a régulièrement observé des activités dans lesquelles les portefeuilles de crypto-monnaies étaient ciblés par diverses formes de logiciels malveillants, tels que les draineurs, les clippeurs et les mineurs, afin de voler des fonds. Compte tenu du retard persistant des mesures de cybersécurité dans la région ALC et de la croissance rapide du marché des crypto-monnaies dans la région ALC, ses utilisateurs peuvent devenir des cibles attrayantes pour les cybercriminels. Les cinq premiers pays de la région ALC qui dominent l'écosystème des crypto-monnaies sont le Brésil, l'Argentine, le Mexique, le Venezuela et la Colombie. Cependant, le Brésil est le leader incontesté, représentant un tiers de l'activité globale des crypto-monnaies. Insikt Group estime qu'à mesure que l'adoption des crypto-monnaies par le grand public se poursuit, acteur malveillant cherchera probablement des cibles dans ces pays, car les connaissances et les pratiques en matière de sécurité de la base d'utilisateurs de ces régions seront probablement insuffisantes. En outre, comme pour acteur malveillant dans d'autres régions du monde, ceux qui ciblent l'ALC tireront presque certainement parti de ce moyen d'échange pour effectuer des transactions et blanchir des fonds illicites. Alors que les pays continuent d'adopter de nouvelles réglementations et d'introduire de nouvelles formes de crypto-monnaies, nous nous attendons à ce que acteur malveillant identifie de nouveaux vecteurs d'exploitation. Depuis 2025, l'Argentine, le Brésil, la Colombie, l'Équateur, le Paraguay, Trinité-et-Tobago, l'Uruguay et le Venezuela participent à la phase pilote inaugurale d'INTERPOL pour la nouvelle Notice d'argent, qui sera publiée pour " aider à localiser et à recouvrer des avoirs d'origine criminelle, lutter contre la criminalité organisée transnationale et renforcer la coopération policière internationale ", et qui inclura probablement les avoirs en crypto-monnaies s'ils sont liés à des produits d'origine criminelle.

Menaces persistantes avancées (APT) et cybercriminalité

Tout au long de l'année 2025, Insikt Group a observé une augmentation de l'activité des APT ciblant la région ALC en utilisant des méthodes cybercriminelles traditionnelles, telles que le phishing et le ransomware. Cela suggère que certains groupes APT peuvent également avoir des motivations financières allant au-delà de la recherche d'une influence géopolitique stratégique. D'importants APT, tels que Dark Caracal, ont mené des activités de cyberespionnage et diffusé le RAT Poco par le biais d'un hameçonnage à thème financier. TAG-144 (Blind Eagle) visait principalement le gouvernement Entité dans les pays d'Amérique du Sud, notamment en Colombie, en utilisant TTPs comme le spearphishing et les trojans d'accès à distance (RAT) dans Campagne, mêlant espionnage et motifs financiers.

Insikt Group évalue que certaines activités parrainées par l'État chinois visent probablement à protéger les investissements économiques dans la région, tels que l'initiative Belt and Road (BRI), les prêts souverains et les intérêts commerciaux généralisés. Outre les groupes APT susmentionnés, des groupes parrainés par l'État chinois ciblent également Entité dans les pays d'Amérique latine et des Caraïbes. TAG-141 (FamousSparrow) a utilisé le logiciel malveillant SparrowDoor contre Entité au Mexique, en Argentine et au Chili. Storm-2603 (Gold Salem) a déployé des ransomwares, notamment Warlock, LockBit et Babuk, ciblant de nombreux secteurs tels que l'agriculture, l'administration, l'énergie et les ressources naturelles, ainsi que les télécommunications dans les régions ALC et Asie-Pacifique (APAC). Cette activité peut indiquer que la Chine cherche à conserver son influence dans la région ALC par des moyens cybercriminels ou qu'elle est intéressée par des gains financiers.

Hacktivisme

La région ALC a connu à plusieurs reprises des périodes de troubles politiques et sociaux complexes, alimentés par des débats sur les réformes économiques, la corruption et les inégalités. Contrairement à la cybercriminalité à motivation financière, l'hacktivisme a tendance à être politique ou idéologique, et ces conditions tendues peuvent créer un environnement propice à la montée en puissance de l'hacktivisme. À la fin de l'année 2025, Insikt Group a constaté une augmentation de l'activité de Chronus Team, un groupe de hacktivistes connu pour ses attaques de défiguration et ses fuites de données visant à exposer la sécurité vulnérabilité, ciblant principalement des organisations au Mexique. Le groupe de menace utilise les canaux Telegram pour communiquer et faire de la propagande. Il s'est vaguement aligné sur d'autres groupes d'hacktivistes et de cybercriminels, tels que Elite 6-27 et Sociedad Privada 157, afin d'attirer l'attention et d'accroître sa réputation. Insikt Group a observé une autre tendance : plusieurs groupes d'hacktivistes ont commencé à passer au ransomware en tant que service (RaaS) à des fins financières. L'un de ces groupes d'hacktivistes, "FiveFamilies", fonctionne comme un collectif de plusieurs groupes ; parmi leurs cibles Entité se trouvent des personnes situées à Cuba et au Brésil.

Figure 1: Piratage et défiguration par l'équipe Chronus du site web pour la transparence budgétaire de la municipalité de Hermosillo, Sonora, Mexique (sources : médias sociaux).

En 2025, Insikt Group a observé une activité élevée de ransomware ciblant les organisations de la région LAC. En outre, les chevaux de Troie bancaires sont restés un problème majeur pour les pays de la région, et Insikt Group a constaté une augmentation du nombre de sites Campagne utilisant WhatsApp pour leurs livraisons. Les "Infostealers" sont restés un moyen d'accès initial populaire dans la région ALC. Les botnets se sont développés dans la région en grande partie à cause des petits appareils de bureau/de bureau à domicile (SOHO), tels que les routeurs et autres appareils de l'internet des objets (IoT) dotés d'une sécurité faible, d'un micrologiciel obsolète et d'une dépendance à l'égard des paramètres par défaut Identifiants. L'activité des botnets peut contribuer au vol d'identifiants, à la propagation de l'hameçonnage Campagne, à la diffusion de spam, à la prise de contrôle et à l'utilisation abusive d'adresses IP résidentielles et à la réalisation d'attaques par déni de service distribué (DDoS). Insikt Group a également observé que acteur malveillant ciblait les terminaux de paiement en 2025 avec des logiciels malveillants pour les guichets automatiques et les points de vente.

Rançongiciels

En 2025, le Global Ransomware Landscape Dashboard de Recorded Futurea enregistré 452 incidents de ransomware ayant un impact sur la région ALC sur un total de 7 346 au niveau mondial, sur la base de toutes les victimes de ransomware connues publiquement et répertoriées sur les blogs de ransomware associés. Les attaques sur Entité dans la région ALC ont constitué un peu plus de 6% de toutes les attaques mondiales par ransomware en 2025. Les cinq secteurs les plus touchés par les ransomwares dans la région ALC en 2025 sont la santé (36 attaques), l'industrie (49 attaques), le gouvernement (28 attaques), les technologies de l'information (21 attaques) et l'éducation (20 attaques), comme le montre la figure 3. Les recherches d'Insikt Group sur les ransomwares dans la région ALC couvrent 27 des 33 pays qui la composent. Insikt Group n'a pas obtenu de données sur les ransomwares en provenance d'Antigua-et-Barbuda, de Belize, de Cuba, de Saint-Kitts-et-Nevis, de Sainte-Lucie ou du Suriname en 2025.

Figure 2 : Paysage mondial Ransomware Tableau de bord des paramètres d'attaque pour les cinq principaux groupes de ransomware ayant un impact sur l'ALC en 2025 (sources : Recorded Future)
Figure 3 : Paysage mondial Ransomware Tableau de bord des mesures d'attaque pour les cinq industries les plus touchées en Amérique latine et dans les Caraïbes en 2025 (sources : Recorded Future)

Insikt Group a observé une augmentation de l'activité des ransomwares dans tous les principaux secteurs d'activité en Amérique latine et dans les Caraïbes par rapport à l'année précédente. Insikt Group a examiné spécifiquement les attaques par ransomware contre les secteurs de la finance, de l'administration et de la santé Entité dans la région ALC et a identifié les éléments suivants : 16 attaques visant le secteur financier, 28 attaques visant le secteur gouvernemental et 36 attaques visant le secteur de la santé. L'annexe C présente un échantillon de ces attaques par ransomware.

En ce qui concerne les pays de l'ALC, les cinq pays les plus touchés par les ransomwares dans la région ALC en 2025 étaient le Brésil (128 attaques), le Mexique (78 attaques), l'Argentine (63 attaques), la Colombie (51 attaques) et le Pérou (27 attaques). Ces pays comptent parmi les plus grandes économies de la région, ce qui peut entraîner des retombées en aval pour les entreprises qui font des affaires directement avec eux ou avec les pays voisins. Insikt Group a constaté que la majorité des groupes de ransomware recourent à la double extorsion. Cette extorsion TTPs consiste à crypter les données d'une victime, à les exfiltrer, puis à menacer de les divulguer publiquement sur le blog du groupe de ransomware si la rançon n'est pas payée. Recorded Future évalue chaque trimestre les risques d'intrusion dans les réseaux et de ciblage des ransomwares par pays afin de sensibiliser les entreprises et de les aider à évaluer leur exposition aux risques. Voici ce qu'il faut retenir des cinq pays les plus touchés, d'après les mesures et l'analyse de Recorded Future :

Figure 4: Paysage mondial Ransomware Tableau de bord des pays les plus touchés en Amérique latine et dans les Caraïbes en 2025 (sources : Recorded Future)

Chevaux de Troie bancaires

Selon l'association Global System for Mobile Communications (GSMA), en 2024, environ 64% de la population d'Amérique latine et des Caraïbes utilisaient l'internet mobile ; on prévoit que ce chiffre passera à près de trois quarts d'ici à 2030. L'augmentation du taux de pénétration de l'internet et du nombre d'abonnements à des téléphones portables en Amérique latine et dans les Caraïbes signifie une dépendance croissante à l'égard des appareils mobiles, ce qui en fait probablement des cibles plus attrayantes pour acteur malveillant. Android reste le système d'exploitation (OS) prédominant pour les appareils mobiles en Amérique du Sud, avec une part de marché de 84,59%. Les appareils Android peuvent prendre en charge davantage d'applications chargées latéralement (liens et paquets d'applications Android [APK] provenant de médias sociaux ou de magasins tiers) que l'iOS d'Apple, dont les contrôles de l'écosystème sont généralement plus stricts, et les utilisateurs d'Android peuvent utiliser des versions plus anciennes du système d'exploitation, ce qui fait des appareils Android des cibles attrayantes pour les cybercriminels. L'écosystème Android offre aux développeurs une plus grande liberté pour répertorier les applications dans le Google Play Store, et le processus de contrôle et de vérification est moins strict, ce qui permet aux miroirs de domaines APK malveillants de ne pas être détectés. Dans la région LAC, les utilisateurs peuvent utiliser leur téléphone portable comme principal ou unique appareil informatique, ce qui en fait un point d'accès initial souhaitable pour acteur malveillant afin de déployer des logiciels malveillants basés sur Android. Selon le rapport Global Findex 2025 de la Banque mondiale, 37% des adultes de la région ALC disposaient d'un compte d'argent mobile en 2024. Les services bancaires mobiles, les portefeuilles numériques et les paiements QR sont monnaie courante dans la région. Sur la base des conclusions de la Banque mondiale, Insikt Group estime que la persistance des logiciels malveillants de banque mobile ciblant l'ALC est probablement due à l'intégration rapide de la banque numérique qui a dépassé les contrôles de sécurité et l'expansion des écosystèmes MaaS. Des attaques sophistiquées d'ingénierie sociale localisées et une capacité d'application régionale disproportionnée accélèrent encore cette tendance dans le paysage financier mobile en constante évolution de l'ALC.

Une étude d'Insikt Group a révélé une augmentation des trojans bancaires ciblant la plateforme WhatsApp en 2025. Ces dernières années, les autorités brésiliennes ont concentré leur attention sur la perturbation des chevaux de Troie bancaires. Une grande partie des logiciels criminels en Amérique latine et dans les Caraïbes sont des chevaux de Troie bancaires mobiles qui, bien que semblables à bien des égards, ne sont pas monolithiques et diffèrent de manière unique. Insikt Group L'analyse de 2025 montre que, malgré certaines perturbations dans l'application de la loi, les chevaux de Troie bancaires restent un problème important dans la région ALC et continueront probablement à l'être en 2026. L'annexe D présente les chevaux de Troie bancaires les plus actifs dans la région ALC en 2025.

Infostealers

Les voleurs d'informations constituent une menace persistante dans le monde entier, et la région ALC ne fait pas exception. Insikt Group a analysé un petit échantillon de domaines appartenant aux principales organisations (sur la base du chiffre d'affaires) dans les secteurs de la santé, du gouvernement et de la finance dans les cinq plus grandes économies de l'ALC. L'analyse a montré que les principales menaces d'infostealer observées en 2025 étaient LummaC2, Vidar, Rhadamanthys, RedLine et Nexus. Et ce, malgré les multiples opérations de répression menées dans le cadre de l'opération Endgame, qui ont permis de démanteler Rhadamanthys et LummaC2.

Figure 5: Tendances d'infection des Infostealers en 2025 pour les domaines appartenant aux principales organisations (sur la base des revenus) dans les secteurs de la santé, du gouvernement et de la finance pour les pays ayant les cinq plus grandes économies de l'ALC (sources : Recorded Future data).

LummaC2 a sans aucun doute été le voleur d'informations le plus actif sur le site Entité dans la région ALC, bien qu'il ait été ciblé par les forces de l'ordre. Plusieurs sources d'information et des discussions sur Telegram ont indiqué que LummaC2 visait les utilisateurs d'Argentine, du Paraguay et du Mexique. Les cybercriminels déploient LummaC2 pour obtenir le site Identifiants des victimes afin de réaliser des fraudes financières et des vols de crypto-monnaies. Insikt Group a effectué des recherches sur les affiliés de LummaC2 et a identifié un probable acteur malveillant basé au Mexique et opérant sous de multiples pseudonymes liés à l'identifiant de construction de Lumma "re0gvc". À la mi-2025, les services répressifs ont pris des mesures pour perturber LummaC2 ; l'opération a effectivement conduit au démantèlement d'environ 2 300 domaines malveillants faisant partie intégrante de l'infrastructure de LummaC2, du commandement central de Lumma et des places de marché criminelles associées. Peu après cette opération, il semble que LummaC2 ait encore infecté des victimes dans plusieurs pays, dont le Brésil et la Colombie, probablement parce que le sinkholing nécessite un certain temps avant d'avoir un effet perceptible, car il redirige le trafic mais ne nettoie pas automatiquement les machines infectées. Pour une remédiation plus complète, la correction nécessiterait l'application de correctifs et la suppression des logiciels malveillants sur les systèmes affectés, ce qui est difficile à mettre en œuvre à grande échelle lorsque les appareils infectés sont disséminés dans le monde entier. Cependant, Insikt Group a observé une diminution significative du nombre de sites Identifiants exposés par LummaC2 au cours du second semestre 2025, probablement en raison du succès de l'opération conjointe de Microsoft et des forces de l'ordre, ainsi que du fait que le principal site acteur malveillant a été banni d'Exploit.

Figure 6: Tendances des infections LummaC2 en 2025 pour les domaines appartenant aux principales organisations (sur la base des revenus) dans les secteurs de la santé, du gouvernement et de la finance pour les pays ayant les cinq plus grandes économies de la région ALC (sources : Recorded Future data).

À la suite de l'opération LummaC2, Recorded Future a détecté une augmentation des infections par Vidar au cours du second semestre 2025. Cette augmentation met en évidence la capacité de acteur malveillantà passer d'un voleur d'informations à un autre pour faciliter ses activités criminelles malgré les perturbations.

Figure 7: Vidar Tendances en matière d'infection en 2025 pour les domaines appartenant aux principales organisations (sur la base du chiffre d'affaires) dans les secteurs de la santé, du gouvernement et de la finance pour les pays ayant les cinq plus grandes économies de l'ALC (sources : Recorded Future data)

Réseaux de zombies

L'activité des botnets n'a cessé de croître dans la région ALC, permettant la fraude financière, la distribution de spams, la collecte d'identifiants, l'accès initial aux ransomwares et les attaques DDoS à grande échelle ciblant les institutions financières et gouvernementales. Les réseaux de zombies sont restés une priorité pour les services répressifs internationaux en 2025. Par exemple, l'opération Endgame en cours vise à entraver les capacités de contrôle à distance de acteur malveillant en démantelant les ransomwares et autres infrastructures de logiciels malveillants. Apparu fin 2025, Kimwolf, également connu sous le nom d'AISURU, est un botnet qui vise à compromettre les dispositifs de diffusion en continu. Les nouvelles reporting et les discussions dark web indiquent que la plupart des appareils infectés par Kimwolf sont basés au Brésil, en Inde, aux États-Unis et en Argentine. Des informations supplémentaires reporting suggère qu'un acteur malveillant impliqué dans le botnet AISURU est probablement basé au Brésil. Horabot est une famille de logiciels malveillants et un type de réseau de zombies identifiés pour la première fois en juin 2023, ciblant les utilisateurs hispanophones de six pays d'Amérique latine et des Caraïbes : Mexique, Guatemala, Colombie, Pérou, Chili et Argentine. Horabot utilise des courriels d'hameçonnage sur le thème des factures pour obtenir un premier accès aux systèmes des victimes.

Logiciels malveillants pour les terminaux de paiement

acteur malveillant ont également continué à cibler les infrastructures de paiement pour en tirer un profit financier. L'activité des logiciels malveillants sur les guichets automatiques a continué à augmenter dans la région ALC, certains experts notant que les attaques de logiciels malveillants sur les guichets automatiques ont augmenté de 46% dans la région ALC en 2025. Par exemple, Ploutus est une famille de logiciels malveillants sophistiqués détectée pour la première fois au Mexique en 2013, qui compromet les distributeurs automatiques de billets en émettant des commandes non autorisées vers leurs modules de distribution de billets. En décembre 2025, le ministère américain de la justice a inculpé 54 personnes associées au gang vénézuélien Tren de Aragua (TDA) pour leur participation à un système de cagnotte massive sur les distributeurs automatiques de billets qui exploitait le logiciel malveillant Ploutus. En outre, le logiciel malveillant MajikPOS, conçu pour infiltrer les systèmes connectés aux terminaux de paiement et extraire les données de paiement par bande magnétique des cartes bancaires, est resté une menace active pour les entreprises opérant au Brésil.

Mitigations

Outlook

Insikt Group a mis en évidence les principales tendances et méthodes cybercriminelles observées dans la région ALC en 2025. acteur malveillant ont eu recours à l'hameçonnage et au vol d'identité pour obtenir et vendre un accès initial aux organisations de l'ALC, tout en s'appuyant souvent sur les forums dark web et les plateformes de messagerie cryptées de bout en bout pour communiquer et monnayer les données de compromission et les méthodes d'accès. Les cybercriminels ont mené une attaque élevée par ransomware contre les secteurs de la santé, de l'administration, de la finance et d'autres secteurs critiques. Les troyens bancaires et les voleurs d'informations ont persisté dans l'ensemble de la région ALC malgré les tentatives de perturbation des forces de l'ordre. Les cybercriminels ont prouvé leur capacité d'adaptation et leur résilience, capitalisant souvent sur des entreprises immatures ou émergentes qui manquent de compétences, d'outils et de personnel pour prévenir les attaques. Les petites et moyennes entreprises (PME) représentent plus de 95% de toutes les entreprises de l'ALC. Les PME sont des cibles de choix pour les cybercriminels car elles disposent généralement de ressources et d'une expertise limitées, n'ont pas d'infrastructure solide et sont très dépendantes de plateformes tierces. Insikt Group L'analyse des tendances confirme ces résultats.

En l'absence d'harmonisation régionale des politiques et des meilleures pratiques en matière de cybersécurité, les pays d'Amérique latine et des Caraïbes continueront probablement à utiliser des approches fragmentées incident réponse, ce qui compliquera la coopération et la collaboration transfrontalières. Pour une protection efficace et durable des systèmes et des informations contre les cybermenaces ( protection ), les pays d'Amérique latine et des Caraïbes devraient s'efforcer de collaborer à la mise en place d'évaluations des risques et de mécanismes normalisés ( reporting ), de protocoles de partage de l'information afin de favoriser une remédiation et une correction rapides, et de mettre en œuvre des principes proactifs de "sécurisation dès la conception". Les approches possibles pour y parvenir peuvent inclure un investissement accru dans le développement de la main-d'œuvre, la participation à des partenariats public-privé et la mise en place de systèmes de gestion centralisée de la cybersécurité. Malgré l'absence de forums importants en espagnol et en portugais, il est probable que acteur malveillant continuera à utiliser des plateformes et des méthodes traditionnelles semblables à celles utilisées par les cybercriminels anglophones et russophones. Sur la base des données actuelles et historiques, nous prévoyons que ces tendances se poursuivront et que l'ALC restera probablement une cible populaire pour les groupes de ransomware et un point névralgique pour les logiciels malveillants mobiles en 2026.

Annexe A : Liste d'exemples de messages ciblant Entité dans les pays d'Amérique latine et des Caraïbes sur le dark web et les forums à accès spécial

Accès présumé ou fuite
Source
Pays et secteur de l'ALC concernés
Accès à une banque brésilienne Entité
Forum XSS
Brésil/Finance
Accès VPN à une banque colombienne
Forum sur les exploits
Colombie/Finance
Accès à une base de données gouvernementale ayant fait l'objet d'une fuite
DarkForums
Mexique/Gouvernement
Accès à la base de données du portail officiel du gouvernement
Forum sur les exploits
Argentine/Gouvernement
Accès au shell web avec privilèges root pour un prestataire de soins de santé
Forum XSS
Chili/Santé
Accès VPN global à un réseau de soins de santé
Forum RehubcomPro
Brésil/Soins de santé

(source : Recorded Future)

Annexe B : Exemples de mesures des cinq principaux groupes Ransomware ayant un impact sur l'ALC en 2025

Nom du groupe
Total des attaques (tous secteurs confondus)
Healthcare
Manufacturing
Government
IT
L'éducation
Qilin (Agenda)
54
4
6
0
2
2
LockBit Gang (BITWISE SPIDER, DEV-0396, Flighty Scorpius)
29
2
3
1
1
4
Safepay
27
2
4
0
0
0
Les Gentlemen
22
3
1
0
0
1
Kazu
21
0
0
17
0
2

(source : Recorded Future)

Annexe C : Échantillon de données de Ransomware incidents ayant un impact sur les secteurs de la santé, de l'administration et des finances dans les pays d'Amérique latine et des Caraïbes en 2025

Groupe Ransomware
Country
Secteur
Safepay
Argentine
Healthcare
Les Gentlemen
Brésil
Healthcare
Kazu
Colombie
Government
Kazu
Mexico
Government
Qilin (Agenda)
Équateur
Finances
Qilin (Agenda)
Argentine
Finances

(source : Recorded Future)

Cheval de Troie bancaire
Attributs
Activité en 2026
Grandoreiro
Il se propage par le biais de courriels d'hameçonnage contenant des documents apparemment légitimes, tels que des PDF. Une fois sur un appareil, il effectue des contrôles anti-sandbox, enregistre les frappes au clavier et communique avec des serveurs C2 pour exfiltrer des données bancaires sensibles. Identifiants
De nouvelles variantes sont apparues avec des moyens d'évasion avancés TTPs, ce qui les rend plus efficaces pour contourner les mesures de sécurité modernes.
Crocodilus
Emploie des tactiques sophistiquées telles que les capacités de contrôle à distance, l'enregistrement des frappes, les attaques par superposition pour capturer l'utilisateur Identifiants, et la capacité de récolter des phrases de semences de portefeuilles de crypto-monnaie.
Élargissement de la portée opérationnelle en ciblant les utilisateurs en Pologne, en Espagne, au Brésil, en Argentine, en Indonésie, aux États-Unis et en Inde.
Mispadu (URSA)
Il utilise des méthodes d'infection sophistiquées, notamment des courriers électroniques non sollicités contenant des PDF malveillants qui déclenchent des processus de téléchargement en plusieurs étapes qui déploient la charge utile Mispadu après avoir effectué des contrôles anti-sandbox et anti-machines virtuelles.
Insikt Group a créé une règle YARA pour détecter Mispadu après une analyse indiquant que le cheval de Troie avait ciblé plusieurs banques de la région ALC
Astaroth (Guildma)
Les méthodes de diffusion comprennent les attaques par spearphishing et l'utilisation d'une infrastructure cloud compromise pour héberger des contenus malveillants. Insikt Group analyse technique statique et détection à l'aide des règles sigma
Réapparition d'un site Campagne en plusieurs étapes, "STAC3150", impliquant le détournement de sessions WhatsApp, le vol d'identifiants et la persistance sur des systèmes compromis.
SORVEPOTEL
Le Brésil a été ciblé dans plusieurs sites Campagne; Insikt Group estime qu'au moins certains opérateurs de SORVEPOTEL sont probablement lusophones, sur la base d'artefacts linguistiques dans les panneaux analysés et du ciblage systématique de victimes brésiliennes ; l'analyse d'un site notable Campagne surnommé "Water Saci" indique que WhatsApp Web a été utilisé pour la distribution.
L'analyse de la nouvelle infrastructure liée à la chargeuse SORVEPOTEL montre qu'elle a distribué Coyote et Maverick
Casabaneiro (“Mekotio” and “Metamorfo”)
Cible principalement les institutions financières en Amérique latine et dans les Caraïbes, utilise des courriels de phishing contenant généralement des URL malveillants qui mènent à des archives ZIP ou à des fichiers ISO contenant des charges utiles qui exécutent des scripts PowerShell conçus pour brouiller les pistes et échapper à la détection.
Water Saci Campagne visant les plates-formes financières brésiliennes via une propagation WhatsApp liée à la famille de logiciels malveillants Casbaneiro
BBTok
Des méthodes de distribution qui déclenchent des infections via des fichiers LNK et qui présentent des capacités avancées de vol d'identifiants et d'exfiltration de données, en s'appuyant sur TTPs, comme l'intégration de bibliothèques de liens dynamiques (DLL) dans les fichiers téléchargés et l'utilisation de commandes utilitaires Windows légitimes pour l'évasion.
Un nouveau site TTPs a vu le jour, où la principale méthode de diffusion est WhatsApp.
Coyote
Il cible principalement les utilisateurs brésiliens et est capable d'effectuer des enregistrements de frappe, de capturer des captures d'écran et d'afficher des superpositions d'hameçonnage pour voler des informations sensibles Identifiants; l'infrastructure de Coyote est dynamique et hébergée sur différentes plateformes, ce qui indique que ses opérateurs ont réussi à échapper à la loi TTPs.
Coyote est resté actif en 2025 et a été observé dans un ver basé sur WhatsApp Campagne qui utilisait des messages autopropagés contenant des archives ZIP malveillantes qui continuaient à distribuer le logiciel malveillant.
Hérodote
Distribué par le biais de messages de smishing qui incitent les victimes à télécharger des APK malveillants, Herodotus a été observé comme ciblant principalement des utilisateurs dans des pays tels que le Brésil et l'Italie.
Insikt Group a analysé un exemple dans lequel Herodotus a usurpé l'identité d'une application de sécurité nommée "Modulo Seguranca Stone" dans un site Campagne au Brésil.

(source : Recorded Future)