LockBit

Un article de Wikipédia, l'encyclopédie libre.

LockBit est un rançongiciel utilisé depuis 2019. Par extension, c'est aussi le nom du groupe de hackers qui l'exploite.

Présentation du rançongiciel[modifier | modifier le code]

Le développement de la version LockBit 2.0 s'opère en 2021.

La version LockBit 3.0 voit le jour en mai 2022, elle est disponible en version Linux et Windows. La version LockBit 3.0 embarque un système intégré de communication entre hackers et cible, avec des négociations qui sont rendues publiques. Comme beaucoup de rançongiciels, il est disponible dans une version Raas « Ransomware as a service »[1]. Les membres du groupe procèdent habituellement à une double extorsion (exfiltration des données puis chiffrement de celles-ci), d'autres à une triple extorsion (attaque DDos en plus). En complément de Lockbit 3.0 qui chiffre les données des serveurs, Stealbit procède à l'exfiltration des données[2].

En 2022, Lockbit est le rançongiciel numéro 1 en nombre d'attaques revendiquées[3].

En septembre 2022, le code source du rançongiciel est dévoilé sur Github, probablement par un développeur en désaccord avec le groupe de pirates[4].

Présentation du groupe de hackers[modifier | modifier le code]

Le groupe est né le 3 septembre 2019.

Russophone, le groupe revendique le fait que ses membres soient nés dans des anciennes républiques soviétiques. De ce fait, il ne s'en prend pas aux intérêts russes. Comparativement à ses concurrents, le groupe LockBit apparait comme beaucoup plus structuré, copiant sa structure de celle des startups. Au sein du programme destiné à leurs affiliés, le groupe LockBit va jusqu'à préciser les cibles à éviter afin de ne pas s'attirer les foudres des forces de l'ordre : les secteurs du médical, de l'éducation et du pétrole[3].

Le groupe LockBit recrute ses affiliés sur un forum en fonction de leur réputation et leur demande de verser une sorte de droit d'entrée en Bitcoins. Les compétences techniques et les antécédents dans le domaine du hacking sont également vérifiés. Toujours afin de ne pas être dissous, le groupe LockBit a ouvert un bug bounty qui permet de rémunérer les découvreurs de failles de sécurité dans l'architecture de Lockbit 3.0[1],[3],[5].

Le 21 septembre 2022, un membre du groupe, mécontent à l'égard du groupe, décide de publier sur internet (via un message Twitter) le code source du ransomware utilisé par le groupe : LockBit 3.0. A partir de là, un groupe de hackers concurrents va se former : Bl00dy. L'attaque de Thales opérée en novembre 2022 serait comme une manière de renaître à la suite de la publication du code de leur ransomware[6].

En octobre 2022, la police canadienne a arrêté un ressortissant russo-canadien de 33 ans, Mikhael Vasiliev, soupçonné d'être un acteur majeur du groupe LockBit. L'exploitation du matériel saisi montre que la hacker arrêté serait impliqué dans plus d'une centaine d'affaires en France et serait lié à plusieurs groupes de hackers (Lockbit mais aussi Blackcat, Ragnarlocker, Darkside et d'autres)[7],[8].

Principales attaques[modifier | modifier le code]

En 2022[modifier | modifier le code]

En janvier 2022, le groupe d'électronique Thales figure parmi les victimes de Lockbit 2.0[9].

En juillet 2022, les services administratifs et de gestion de La Poste Mobile sont attaqués[3].

En septembre 2022, l'hôpital de Corbeil Essonnes est visé avec une demande de rançon de 10 millions de dollars[10].

Le 14 septembre 2022, les pirates du groupe revendiquent des cyberattaques contre 28 organismes, dont 12 qui concerneraient des organismes français[11].

En octobre 2022, le groupe Lockbit revendique l'attaque de Pendragon PLC (en), un groupe de revendeurs automobiles au Royaume-Uni. La rançon pour décoder les fichiers et ne pas révéler leur contenu est de 60 millions $[12].

Le 31 octobre 2022, le groupe de hackers Lockbit revendique avoir attaqué pour la deuxième fois le groupe Thales. Le groupe Lockbit ne demande pas de rançon mais affiche un décompte se terminant le 7 novembre, date à laquelle les données seront publiées. Le groupe de hackers propose son assistance aux clients de Thales qui seraient impactés par ce vol, afin de porter plainte contre Thales, un groupe « qui a grandement négligé les règles de confidentialité »[13]. Le 10 novembre 2022, le groupe LockBit 3.0 publie les informations volées sur le darknet. L'archive de 9,5 Go contient des informations relatives aux contrats de Thales en Italie et en Malaisie[14],[15].

En août 2022, l'équipementier allemand Continental a subi une attaque par ransomware de la part du groupe LockBit 3.0. En novembre 2022, sans réponse à sa demande de rançon, le groupe de hackers à publié une partie des données volées et propose l'accès à la totalité des données pour 50 millions d'euros. Parmi les données piratées on trouve la vie privée des salariés du groupe, mais aussi les échanges avec les constructeurs automobiles allemands. Au delà du vol de données, le danger est d'ouvrir la voie à l'espionnage industriel. En effet parmi les échanges avec Volkswagen, on trouve les aspects informatiques, de la conduite automatisée au divertissement sur lesquels Volkswagen souhaitait que Continental s'investisse[16].

En novembre 2022, l'OEHC — Office d'Équipement Hydraulique de Corse — est victime d'une cyberattaque avec chiffrement des données informatiques de l'office. Une demande de rançon a été effectuée par le groupe de hackers, restée sans réponse de la part de l'OEHC[17].

En décembre 2022, le groupe de hackers Lockbit revendique l'attaque de l'administration des finances de Californie. Le bureau du gouverneur a reconnu être victime d'une attaque sans en préciser l'importance. Lockbit revendique avoir volé 246.000 fichiers d'un volume total de 75,3 Gb[18].

En décembre 2022, le groupe de hackers revendique l'attaque de l'administration du port de Lisbonne. Le montant de la rançon est de 1,5 million de dollars à payer avant le 18 janvier 2022[19].

Le 18 décembre 2022, le groupe de hackers s'en est pris à l'hôpital pour enfants SikKids de Toronto. Après s'être aperçus de leur bévue, le groupe de hackers arrête l'attaque, s'excuse et propose gratuitement la solution pour récupérer les fichiers chiffrés[20].

En 2023[modifier | modifier le code]

En janvier 2023, le groupe de hackers revendique avoir attaqué l'entreprise de luxe Nuxe[21].

En janvier 2023, le groupe de hackers revendique l'attaque de Royal Mail. Les activités internationales de l'opérateur britannique sont touchées[22].

En janvier 2023 le groupe Elsan (groupe de cliniques privées) fait l'objet d'une cyberattaque de la part de Lockbit. Le groupe de hackers a subtilité 821 Go de données du siège de l'entreprise [23].

Notes et références[modifier | modifier le code]

Références[modifier | modifier le code]

  1. a et b Valéry Rieß-Marchive, « Victimes de LockBit 3.0 : attention à la divulgation des négociations » Accès libre, Le Mag IT, (consulté le )
  2. Adrien Le Sech, « Analyse du groupe rançongiciel LockBit 3.0 : contexte, jeu d’intrusion et recommandations de sécurité » Accès libre, ZDNet, (consulté le )
  3. a b c et d François Manens, « Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ? » Accès libre, La Tribune, (consulté le )
  4. Bogdan Bodnar, « Le redoutable ransomware Lockbit a fuité après une dispute avec des hackers », Numérama, (consulté le )
  5. Damien Bancal, « LockBit 3.0 : des pirates aux centaines de piratage » Accès libre, Zataz, (consulté le )
  6. Théo Janvier, « Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux » Accès libre, Journal du Net, (consulté le )
  7. Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit a été arrêté au Canada » Accès libre, Numérama, (consulté le )
  8. « Un hacker arrêté au Canada serait lié à plus de 100 attaques au rançongiciel en France », Le Figaro, (consulté le )
  9. Damien Licata Caruso, « Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale » Accès libre, Le Parisien, (consulté le )
  10. « Cybercriminalité : l’hôpital de Corbeil-Essonnes refuse de payer la rançon, les hackeurs ont commencé à diffuser des données » Accès libre, Le Monde, (consulté le )
  11. Bogdan Bodnar, « Les hackers de l'hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d'organismes français » [archive du ] [html], sur Numerama, (consulté le )
  12. (en) Bill Toulas, « Pendragon car dealer refuses $60 million LockBit ransomware demand », Bleeping Computer, (consulté le )
  13. David Di Giacomo, « Un groupe de hackers revendique une cyberattaque contre Thalès », France Info, (consulté le )
  14. « Cybersécurité : des données volées à Thales publiées sur le darkweb » Accès libre, Le Figaro, (consulté le )
  15. Louis Adam, « Thales : Lockbit diffuse des données volées, l’entreprise dément toute intrusion dans son système » Accès libre, Le Monde, (consulté le )
  16. Nathalie Steiwer, « Continental victime d'une cyberattaque à 50 millions de dollars » Accès libre, Les Échos, (consulté le )
  17. Sébastien Bonifay, « Cyberattaque : L'OEHC refuse de négocier, et promet un retour à la normale le plus rapidement possible », France 3, (consulté le )
  18. (en) Ionut Ilascu, « LockBit claims attack on California's Department of Finance » Accès libre, Bleeping Computer, (consulté le )
  19. (en) Bill Toulas, « LockBit ransomware claims attack on Port of Lisbon in Portugal » Accès libre, Bleeping Computer, (consulté le )
  20. Mallory Delicourt, « Ransomware : après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé » Accès libre, Clubic, (consulté le )
  21. Gabriel Thierry, « Le gang LockBit tente de faire chanter l’entreprise Nuxe » Accès libre, ZD Net, (consulté le )
  22. (en) Lawrence Abrams, « Royal Mail cyberattack linked to LockBit ransomware operation » Accès libre, Bleeping Computer, (consulté le )
  23. Gabriel Thierry, « Le leader français de la santé privée visé par LockBit » Accès libre, ZDNet, (consulté le )

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]