Le paysage des ransomwares au Maroc évolue rapidement. En 2026, plusieurs groupes cybercriminels ciblent activement les entreprises marocaines avec des attaques de plus en plus sophistiquées. Chez Ealison Maroc, nous analysons en permanence les menaces pour mieux protéger nos clients. Voici notre analyse des groupes les plus actifs.
LockBit 3.0 : le ransomware le plus répandu au Maroc
LockBit reste le ransomware le plus rencontré dans nos interventions au Maroc. Ce groupe opère en mode Ransomware-as-a-Service (RaaS) et cible principalement les entreprises de taille moyenne. Les vecteurs d’attaque privilégiés sont les accès RDP compromis, les vulnérabilités VPN et les emails de phishing ciblés. LockBit est connu pour sa vitesse de chiffrement extrêmement rapide et sa technique de double extorsion : chiffrement des fichiers ET menace de publication des données volées.
BlackCat (ALPHV) : des attaques ciblées et destructrices
BlackCat, également connu sous le nom ALPHV, est un ransomware particulièrement sophistiqué écrit en Rust, ce qui le rend difficile à détecter par les antivirus traditionnels. Au Maroc, nous avons observé des attaques BlackCat contre des entreprises du secteur financier, de la santé et de l’industrie. Ce groupe pratique la triple extorsion : chiffrement, vol de données et menace d’attaque DDoS en cas de non-paiement.
Akira : la menace montante
Akira est un groupe relativement récent mais en forte croissance. Il cible particulièrement les PME et utilise des vulnérabilités dans les VPN Cisco et les dispositifs d’accès à distance. Au Maroc, nous avons constaté une augmentation des attaques Akira depuis début 2026, notamment contre les cabinets d’avocats, les cliniques privées et les sociétés de services.
Cl0p et les attaques supply chain
Cl0p s’est spécialisé dans les attaques via les vulnérabilités zero-day des logiciels tiers (MOVEit, GoAnywhere). Cette approche est particulièrement dangereuse car elle contourne les protections traditionnelles. Les entreprises marocaines utilisant des logiciels de transfert de fichiers ou des outils SaaS vulnérables sont à risque.
STOP/Djvu : le fléau des particuliers marocains
STOP/Djvu est le ransomware le plus courant chez les particuliers et les très petites entreprises au Maroc. Il se propage principalement via les logiciels piratés et les cracks téléchargés sur Internet. Les victimes voient leurs fichiers renommés avec des extensions comme .djvu, .nood, .wiaw, .wisz ou d’autres variantes. Des déchiffreurs gratuits existent pour certaines anciennes versions.
Comment Ealison Maroc protège votre entreprise
Notre approche de protection multi-couches comprend : une évaluation des vulnérabilités spécifiques à votre infrastructure, la mise en place de défenses adaptées (EDR, segmentation, MFA), une surveillance SOC 24/7 pour détecter les signes précurseurs d’attaque, un plan de réponse aux incidents prêt à être activé, et des sauvegardes immuables testées régulièrement. Contactez-nous pour un diagnostic gratuit de votre exposition aux ransomwares.