LockBit

Un article de Wikipédia, l'encyclopédie libre.
LockBit
Description de l'image LockBit_3.0_logo.png.

Informations
Première version Voir et modifier les données sur Wikidata
Type Groupe de cybercriminels (d)Voir et modifier les données sur Wikidata

LockBit est un rançongiciel utilisé depuis 2019. Par extension, c'est aussi le nom du groupe de pirates qui l'exploite.

Le groupe cybercriminel LockBit, formé en septembre 2019, se distingue par une structure et des critères de recrutement basés sur la réputation et les compétences techniques. LockBit est à l'origine de 1 700 attaques dans le monde depuis 2020. LockBit 3.0 a notamment attaqué de grandes entreprises stratégiques comme Thales, Continental et TSMC.

En février 2024, une opération de police internationale (l'opération Cronos) met un coup de frein aux opérations du groupe.

Description[modifier | modifier le code]

Le logiciel malveillant Lockbit était auparavant connu sous le nom de ".abcd", d'après l'extension de fichier qui était ajoutée aux fichiers chiffrés lorsqu'ils étaient rendus inaccessibles[1].

Le développement de la version LockBit 2.0 date de 2021[2].

La version LockBit 3.0 date de mai 2022 et fonctionne en version Linux et Windows. Elle embarque un système intégré de communications entre le groupe et sa cible, avec des négociations rendues publiques. Comme beaucoup de rançongiciels, il est disponible dans une version RaaS « Ransomware as a service »[3]. Les membres du groupe procèdent habituellement à une double extorsion (exfiltration des données puis chiffrement de celles-ci), d'autres à une triple extorsion (attaque DDoS en plus). En complément de Lockbit 3.0, qui chiffre les données des serveurs, Stealbit procède à leur exfiltration[4].

En 2022, LockBit est le rançongiciel numéro un en nombre d'attaques revendiquées[5]. Fin 2022, il devient le rançongiciel le plus actif avec environ 200 attaques mensuelles issues de ses affiliés[6].

En septembre 2022, le code source du rançongiciel est dévoilé sur GitHub, probablement par un développeur en désaccord avec le groupe[7]. À la suite de cette divulgation du code source, de nombreux groupes de pirates se le sont appropriés et en ont tiré profit sans avoir à payer de droits au groupe LockBit. En août 2023, Kaspersky estime que près de 400 versions du rançongiciel sont désormais dans la nature[8].

En avril 2023, le groupe confirme au média Bleeping Computer qu'il travaille sur une version pour Mac[9].

Histoire du groupe cybercriminel[modifier | modifier le code]

Développement du groupe[modifier | modifier le code]

Il est né le 3 septembre 2019.

Russophone, il revendique le fait que ses membres soient nés dans d'anciennes républiques soviétiques. De ce fait, il ne s'en prend pas aux intérêts russes, ni à ceux de pays de l'ex-URSS. Par extension et afin d'avoir la paix avec le pouvoir russe en place, ses alliés sont laissés tranquilles. C'est pourquoi l'attaque de mai 2023 contre un journal chinois apparaît comme singulière[10],[11]. Comparé à ses concurrents, le groupe LockBit apparaît comme beaucoup mieux organisé, imitant la structure des startups. Au sein du programme destiné à ses affiliés, le groupe LockBit va jusqu'à préciser les cibles à éviter afin de ne pas s'attirer les foudres des forces de l'ordre : les secteurs de la santé, de l'éducation et du pétrole[5].

Il recrute ses affiliés sur un forum, en fonction de leur réputation et leur demande le versement d'une sorte de droit d'entrée en bitcoins. Les compétences techniques et les antécédents dans le domaine du hacking sont également vérifiés. Par ailleurs, dans le but d'améliorer son logiciel et de ne pas être attaqué, le groupe a ouvert un bug bounty permettant de rémunérer les découvreurs de failles de sécurité dans l'architecture de Lockbit 3.0[3],[5],[12].

Le 21 septembre 2022, un membre du groupe, mécontent, décide de publier sur internet (via un message Twitter) le code source de LockBit 3.0. À la suite de cette fuite, un groupe de pirates concurrents va se former : Bl00dy. L'attaque de Thales opérée en novembre 2022 sera comme une forme de renaissance à la suite de la publication du code de leur rançongiciel[13].

En octobre 2022, la police canadienne arrête un ressortissant russo-canadien de 33 ans, Mikhael Vasiliev, soupçonné d'être un acteur majeur du groupe LockBit. L'étude du matériel saisi montre que ce hacker aurait été impliqué dans plus d'une centaine d'affaires en France, et lié à plusieurs groupes de pirates (Lockbit mais aussi Blackcat, Ragnarlocker, Darkside et d'autres)[14],[15]. Mikhael Vasiliev est jugé par un tribunal de l'Ontario (Canada) en mars 2024, où il est condamné à une peine de 4 ans de prison et 860 000 dollars canadiens d'amende[16]. Mais ce n'est que le début d'un périple qui doit mener Mikhael Vasiliev aux États-Unis dans l'état du New Jersey, puis en France[17].

En mai 2023, le FBI offre une récompense de 10 millions de dollars pour toute information sur Mikhail Pavlovich Matveev (connu sous le pseudonyme de « Wazawaka »). Selon le FBI, il serait un membre actif du cybercrime et participerait au développement et à l'évolution des rançongiciels[18].

En juin 2023, sept agences internationales de cyber-sécurité (France, Nouvelle-Zélande, États-Unis, Royaume-Uni, Canada, Allemagne, Australie) mutualisent leurs efforts pour faire front commun contre le groupe : elles publient un mode d'emploi à destination des entreprises afin qu'elles se protégent de ce rançongiciel[19].

Le la police américaine arrête, en Arizona, un ressortissant russe originaire de Tchétchénie : Ruslan Magomedovich Astamirov (20 ans), soupçonné d'appartenir au collectif LockBit et d'avoir participé à des attaques au rançongiciel entre 2020 et 2023[20].

Opération Cronos[modifier | modifier le code]

Le 20 février 2024, Europol et la National Crime Agency ont coordonné une opération mondiale destinée à mettre fin aux activités du groupe. Il s'agit d'une opération de longue haleine (commencée en 2022 avec Eurojust), à la demande des autorités françaises. Deux membres du gang sont arrêtés en Pologne et en Ukraine alors que les autorités judiciaires françaises et américaines ont émis trois mandats d'arrêt internationaux et cinq actes d'accusation[21],[22].

Cette opération permet le démantèlement de 34 serveurs et la saisie de plus de 1 000 clés de déchiffrement dans de nombreux pays européens, aux États-Unis et jusqu'en Australie. La saisie de ces clés a permis le développement d'un outil de déchiffrement gratuit, mis à disposition du public via le portail No more ransom. Par ailleurs, près de 200 portefeuilles de crypto-monnaie ont été saisis, ce qui permet d'envisager un dédommagement éventuel des victimes de ce rançongiciel. La saisie des serveurs a permis de mettre la main sur le code source du rançongiciel, les données volées aux victimes et la liste de celles-ci. D'autre part, cette saisie a également permis de comprendre l'infrastructure de gestion des affiliés, de divers partenaires et de saisir des sites dans le dark web (« Onionland »)[21],[22]. Ce « coup de filet » a aussi montré que les développeurs de LockBit étaient en train de construire une version nouvelle de leur système malveillant de cryptage de fichiers, « baptisée LockBit-NG-Dev - susceptible de devenir LockBit 4.0 ». Selon la NCA, le groupe LockBit comptait en 2024 au moins 188 « affiliés »[23]. La société de sécurité Trend Micro a publié une analyse technique approfondie du code source de ce malware, analyse qui en révèle les paramètres de configuration complets[23].

Les dirigeants du groupe sont toujours en liberté, et ils disposent probablement de serveurs de sauvegarde ; mais l'opération Cronos a mis un sérieux frein à leurs activités illégales[21],[22]. Pour capturer le chef du groupe, dit LockBitSupp, le FBI propose, dans le cadre du programme TOCRP (Transnational Organised Crime Rewards Programme), 15 millions de dollars pour toute information menant à sa capture[24]. LockBit pourrait tenter de se reconstituer (au 22 février 2024, Ars Technica note que le ransomware LockBit continuait de se propager)[25],[23]. Mais les agences internationales annoncent qu'elles resteront « vigilantes » et ne « cesseront pas leurs efforts pour cibler ce groupe et ses associés »[26].

Principales attaques[modifier | modifier le code]

Selon les pays, LockBit est responsable d'entre 16 % et 27 % des attaques par rançongiciel en fonction du pays. Depuis 2020, LockBit représente 1 700 attaques dans le monde. En France le groupe est à l'origine de 69 piratages en 2022 et 2023[19].

En 2022[modifier | modifier le code]

En janvier 2022, le groupe d'électronique Thales figure parmi les victimes de Lockbit 2.0[27].

En juillet 2022, les services administratifs et de gestion de La Poste Mobile sont attaqués[5].

En septembre 2022, l'hôpital de Corbeil Essonnes est visé avec une demande de rançon de 10 millions de dollars[28].

Le 14 septembre 2022, les pirates du groupe revendiquent des cyberattaques contre 28 organismes, dont 12 concerneraient des organismes français[29].

En octobre 2022, le groupe Lockbit revendique l'attaque de Pendragon PLC (en), un groupe de revendeurs automobiles au Royaume-Uni. Le montant de la rançon pour déchiffrer les fichiers et ne pas révéler leur contenu est de 60 millions de dollars[30].

Le 31 octobre 2022, le groupe de pirates revendique avoir attaqué pour la deuxième fois le groupe Thales. Lockbit ne demande pas de rançon mais affiche un décompte se terminant le 7 novembre, date à laquelle les données seront publiées. Ils proposent leur assistance aux clients de Thales qui seraient impactés par ce vol, afin qu'ils puissent porter plainte contre Thales, un groupe « qui a grandement négligé les règles de confidentialité »[31]. Le 10 novembre 2022, le groupe LockBit 3.0 publie les informations volées sur le darknet. L'archive de 9,5 Go contient des informations relatives aux contrats de Thales en Italie et en Malaisie[32],[33].

En août 2022, l'équipementier allemand Continental subit une attaque du groupe LockBit 3.0. En novembre 2022, sans réponse à sa demande de rançon, le groupe publie une partie des données volées et propose l'accès à la totalité des données pour 50 millions d'euros. Parmi les données piratées, on trouve la vie privée des salariés du groupe, mais aussi les échanges avec les constructeurs automobiles allemands. Au-delà du vol de données, le danger est d'ouvrir la voie à l'espionnage industriel. En effet parmi les échanges avec Volkswagen, on trouve les aspects informatiques sur lesquels Volkswagen souhaitait que Continental s'investisse : de la conduite automatisée au divertissement[34].

En novembre 2022, l'OEHC — Office d'Équipement Hydraulique de Corse — est victime d'une cyberattaque avec chiffrement de ses données. Une demande de rançon est effectuée par le groupe de pirates, restée sans réponse de la part de l'OEHC[35].

En décembre 2022, Lockbit revendique le vol de 246 000 fichiers d'un volume total de 75,3 Go, lors d'une attaque de l'administration des finances de Californie. Le bureau du gouverneur reconnaît être victime d'une attaque sans en préciser l'importance[36].

En décembre 2022, ils revendiquent l'attaque de l'administration du port de Lisbonne. Le montant de la rançon est de 1,5 million de dollars à payer avant le 18 janvier 2023[37].

Le 18 décembre 2022, ils s'en prennent à l'hôpital pour enfants SikKids de Toronto. Après s'être aperçu de sa bévue, le groupe arrête l'attaque, s'excuse et propose gratuitement la solution pour récupérer les fichiers chiffrés[38].

En 2023[modifier | modifier le code]

En janvier 2023, le groupe revendique avoir attaqué l'entreprise de luxe Nuxe[39].

En janvier 2023, ils revendiquent l'attaque de Royal Mail ; les activités internationales de l'opérateur britannique sont touchées[40].

En janvier 2023 le groupe Elsan (groupe de cliniques privées) fait l'objet d'une cyberattaque de la part de Lockbit. Le groupe a subtilisé 821 Go de données au siège de l'entreprise[41].

En février 2023, le groupe revendique l'attaque de la chaîne de librairies canadiennes Indigo Books and Music[42] et en mars, l'attaque du groupe BRL, un spécialiste de l'eau de la région Occitanie[43].

Le 16 mai 2023, c'est l'attaque de la branche hongkongaise du journal chinois China Daily. C'est la première fois qu'il s'en prend à une entreprise liée au pouvoir chinois. De la même façon que Lockbit ne s'attaque pas au pouvoir russe, il évite de s'attaquer à ses alliés[10].

En mai 2023, le groupe revendique l'attaque de Voyageurs du monde à qui ils volent quelques 10 000 documents d'identité provenant des dossiers clients de l'entreprise[44].

Fin juin 2023, le groupe TSMC est victime d'une attaque au rançongiciel par l'intermédiaire d'un de ses fournisseurs. La rançon demandée par LockBit est de 70 millions de dollars[45].

En octobre 2023, c'est le groupe Boeing qui est victime d'une attaque. Selon Boeing, c'est l'activité de pièces détachées qui a été visée[46]. Faute d'un accord avec l'avionneur, le groupe publie la totalité des données extorquées (500 Go) le 10 novembre 2023[47].

En novembre 2023, ils s'en prennent à la filiale américaine de la banque chinoise ICBC, première banque du monde en termes d'actifs. Le marché des bons du Trésor américain a été perturbé par cette attaque et les transactions de l'ICBC rendues impossibles. Selon des sources américaines, le responsable de l'attaque serait le groupe LockBit sans que l'on sache s'il s'agit du groupe lui-même ou de l'un de ses affiliés[48]. Normalement le groupe ne s'en prenant pas aux alliés de Moscou, afin de préserver de bonnes relations diplomatiques, cette attaque est très particulière et n'est pas référencée sur leur site sur le darknet[49].

Le 6 novembre 2023, le département du Loiret est touché par le rançongiciel LockBit. Le groupe donne 12 jours au département pour payer la rançon. De nombreux services ont été impactés (le réseau informatique du SDIS (Service départemental d'incendie et de secours), les collèges (notamment les impressions) et le conseil départemental du Loiret), une plainte à également été déposée[50].

En 2024[modifier | modifier le code]

Le groupe de pirates revendique l'attaque de la chaîne de restaurants Subway en janvier 2024. LockBit aurait exfiltré des centaines de Go de données. Subway n'a pas confirmé l'attaque[51].

Le groupe revendique, en janvier 2024, l'attaque de Foxsemicon, filiale de Foxconn. Outre le siphonnage des données, LockBit a défacé la page d'accueil de la cible avec un message explicite informant le visiteur du piratage de l'entreprise. Il s'agit là d'un nouveau mode d'action expérimenté par LockBit[52].

Notes et références[modifier | modifier le code]

Références[modifier | modifier le code]

  1. (en-GB) Dan Milmo et Dan Milmo Global technology editor, « What is LockBit ransomware and how does it operate? », The Guardian,‎ (ISSN 0261-3077, lire en ligne, consulté le )
  2. (en) « LockBit 2.0 Ransomware: An In-Depth Look at Lockfile & LockBit », sur Avertium (consulté le )
  3. a et b Valéry Rieß-Marchive, « Victimes de LockBit 3.0 : attention à la divulgation des négociations » Accès libre, Le Mag IT, (consulté le )
  4. Adrien Le Sech, « Analyse du groupe rançongiciel LockBit 3.0 : contexte, jeu d’intrusion et recommandations de sécurité » Accès libre, ZDNet, (consulté le )
  5. a b c et d François Manens, « Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ? » Accès libre, La Tribune, (consulté le )
  6. (en) Shingo Matsugaya, « LockBit, BlackCat, and Royal Dominate the Ransomware Scene » Accès libre, TrendsMicro, (consulté le )
  7. Bogdan Bodnar, « Le redoutable ransomware Lockbit a fuité après une dispute avec des hackers », Numérama, (consulté le )
  8. Florian Bayard, « Ransomware Lockbit : une armée de clones envahit le web » Accès libre, 01 Net, (consulté le )
  9. Bogdan Bodnar, « Les Mac d’Apple ne sont plus à l’abri du puissant ransomware Locbkit » Accès libre, Numerama, (consulté le )
  10. a et b Bogdan Bodnar, « Cyberattaque contre un grand média chinois, pourquoi est-ce inédit ? » Accès libre, Numérama, (consulté le )
  11. Juliette Paquier, « Cybercriminalité : LockBit, ces hackers russophones qui ciblent régulièrement la France » Accès libre, La Croix, (consulté le )
  12. Damien Bancal, « LockBit 3.0 : des pirates aux centaines de piratage » Accès libre, Zataz, (consulté le )
  13. Théo Janvier, « Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux » Accès libre, Journal du Net, (consulté le )
  14. Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit a été arrêté au Canada » Accès libre, Numérama, (consulté le )
  15. « Un hacker arrêté au Canada serait lié à plus de 100 attaques au rançongiciel en France », Le Figaro, (consulté le )
  16. (en) Mike Arsalides, « Convicted cybercriminal from Bradford, Ont., sentenced for global ransomware scheme » Accès libre, CTV News, (consulté le )
  17. Gabriel Thierry, « Avant un éventuel procès en France, une première condamnation pour l’un des hackers de LockBit » Accès libre, ZD Net, (consulté le )
  18. Bogdan Bodnar, « On connait le visage d’un célèbre hacker russe recherché par le FBI » Accès libre, Numerama, (consulté le )
  19. a et b « Cyberattaques: la France et six autres pays se liguent contre le groupe russophone LockBit » Accès libre, BFMTV, (consulté le )
  20. Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit arrêté aux États-Unis » Accès libre, Numérama, (consulté le )
  21. a b et c (en) Sergiu Gatlan, « Police arrests LockBit ransomware members, release decryptor in global crackdown » Accès libre, Bleeping Computer, (consulté le )
  22. a b et c Par Gabriel Thierry |, « Le gang LockBit touché par “Cronos”, spectaculaire opération policière internationale », sur ZDNet France, (consulté le ).
  23. a b et c Florian Bayard, « Lockbit est déjà de retour : le gang de pirates multiplie les attaques », 01net,‎ (lire en ligne, consulté le ).
  24. Hyukwoo Nam, « La tête du chef de LockBit mise à prix 15 millions de dollars » Accès libre, ZD Net, (consulté le )
  25. (en-US) Dan Goodin, « Ransomware associated with LockBit still spreading 2 days after server takedown », sur Ars Technica, (consulté le )
  26. « LockBit : ce que l’on sait de l’opération contre le groupe de hackeurs «le plus nuisible au monde» », Libération,‎ (lire en ligne, consulté le ).
  27. Damien Licata Caruso, « Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale » Accès libre, Le Parisien, (consulté le ).
  28. « Cybercriminalité : l’hôpital de Corbeil-Essonnes refuse de payer la rançon, les hackeurs ont commencé à diffuser des données » Accès libre, Le Monde, (consulté le )
  29. Bogdan Bodnar, « Les hackers de l'hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d'organismes français » [archive du ] [html], sur Numerama, (consulté le )
  30. (en) Bill Toulas, « Pendragon car dealer refuses $60 million LockBit ransomware demand », Bleeping Computer, (consulté le )
  31. David Di Giacomo, « Un groupe de hackers revendique une cyberattaque contre Thalès », France Info, (consulté le )
  32. « Cybersécurité : des données volées à Thales publiées sur le darkweb » Accès libre, Le Figaro, (consulté le )
  33. Louis Adam, « Thales : Lockbit diffuse des données volées, l’entreprise dément toute intrusion dans son système » Accès libre, Le Monde, (consulté le )
  34. Nathalie Steiwer, « Continental victime d'une cyberattaque à 50 millions de dollars » Accès libre, Les Échos, (consulté le )
  35. Sébastien Bonifay, « Cyberattaque : L'OEHC refuse de négocier, et promet un retour à la normale le plus rapidement possible », France 3, (consulté le )
  36. (en) Ionut Ilascu, « LockBit claims attack on California's Department of Finance » Accès libre, Bleeping Computer, (consulté le )
  37. (en) Bill Toulas, « LockBit ransomware claims attack on Port of Lisbon in Portugal » Accès libre, Bleeping Computer, (consulté le )
  38. Mallory Delicourt, « Ransomware : après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé » Accès libre, Clubic, (consulté le )
  39. Gabriel Thierry, « Le gang LockBit tente de faire chanter l’entreprise Nuxe » Accès libre, ZD Net, (consulté le )
  40. (en) Lawrence Abrams, « Royal Mail cyberattack linked to LockBit ransomware operation » Accès libre, Bleeping Computer, (consulté le )
  41. Gabriel Thierry, « Le leader français de la santé privée visé par LockBit » Accès libre, ZDNet, (consulté le ).
  42. « Qu’est-ce que LockBit, le rançongiciel utilisé contre les librairies Indigo » Accès libre, Les affaires, (consulté le )
  43. Gabriel Thierry, « LockBit étoffe encore son tableau de chasse hexagonal » Accès libre, ZDNet, (consulté le )
  44. Gabriel Thierry, « Le piratage de Voyageurs du monde se solde par la fuite de plusieurs milliers de copies de passeports » Accès libre, ZD Net, (consulté le )
  45. (en) Bill Toulas, « TSMC denies LockBit hack as ransomware gang demands $70 million » Accès libre, Bleeping Computer, (consulté le )
  46. Jérôme Marin, « Ransomware : Boeing touché par une attaque de LockBit » Accès libre, L'Usine digitale, (consulté le )
  47. (en) Ionut Ilascu, « LockBit ransomware leaks gigabytes of Boeing data » Accès libre, Bleeping Computer, (consulté le )
  48. (en) Costas Mourselas in London, Kate Duguid and Joshua Franklin in New York and Hannah Murphy in San Francisco, « Ransomware attack on ICBC disrupts trades in US Treasury market » Accès libre, Financial Times, (consulté le )
  49. Bogdan Bodnar, « Des hackers russophones attaquent la plus grande banque chinoise » Accès libre, Numérama, (consulté le )
  50. Bogdan Bodnar, « La cyberattaque contre le Loiret est encore un coup des hackers de Lockbit » Accès libre, Numérama, (consulté le )
  51. Bogdan Bodnar, « Un important groupe de hackers revendique une cyberattaque contre Subway » Accès libre, Numérama, (consulté le )
  52. Bogdan Bodnar, « « Vos données ont été volées », le gang de hackers Lockbit fait savoir à tout le monde qu’il vous a piraté » Accès libre, Numérama, (consulté le )

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]