LockBit s’impose depuis 2019 comme le rançongiciel le plus prolifique au monde. Entre cyberattaques massives, opérations policières internationales et rebondissements, ce groupe cybercriminel incarne les défis contemporains de la cybersécurité. Cet article vous propose une analyse exhaustive de LockBit, de ses origines à son infrastructure actuelle.
Qu’est-ce que LockBit ? Définition et Modèle de Business
Définition technique
LockBit est un rançongiciel (ransomware) développé par un groupe cybercriminel du même nom. Le malware fonctionne selon un modèle de Ransomware-as-a-Service (RaaS) : plutôt que de mener seul des attaques, le groupe vend ou loue son code à d’autres cybercriminels, appelés « affiliés », qui lancent les attaques en échange d’un pourcentage du butin.
Une fois qu’un système est infecté, LockBit :
- Chiffre les données du réseau complet de la victime
- Exfiltre les informations sensibles (double extorsion)
- Demande une rançon pour la clé de déchiffrement
- Menace de publier les données sur le dark web en cas de non-paiement
Modèle économique innovant
Contrairement aux groupes criminalistes traditionnels, LockBit fonctionne comme une startup technologique organisée :
| Élément | Description |
|---|---|
| Recrutement | Affiliation sur forums russes avec critères de compétences techniques |
| Revenus | Pourcentage des rançons ou système d’abonnement |
| Innovation | Programme de bug bounty offrant 1 000 $ à 1 million $ pour les découvertes de failles |
| Support client | Système intégré de communication avec les victimes, négociations publiques |
| Évolution continue | Versions successives (v1, v2, v3, v4/NG-Dev) avec améliorations régulières |
Origines et Historique de LockBit
Les débuts (2019-2020)
LockBit a été identifié pour la première fois en septembre 2019 sur des forums cybercriminels russophones sous le nom de virus « .abcd » (l’extension de fichier ajoutée aux données chiffrées). Bien que le groupe affirme être « apolitique et basé aux Pays-Bas », plusieurs indices pointent vers une origine russe ou post-soviétique :
- Les malwares contiennent des paramètres empêchant l’infection de systèmes en Russie ou dans les pays de l’ex-URSS
- La majorité des membres sont russophones
- Les opérations se déroulaient initialement sur des forums de cybercriminalité russes
Évolution des versions
| Version | Date | Innovations clés |
|---|---|---|
| LockBit 1.0 | Septembre 2019 | Première apparition ; attaques ciblées |
| LockBit 2.0 | 2021 | StealBit (outil d’exfiltration automatique), augmentation des attaques |
| LockBit 3.0 | Juin 2022 | Slogan « Make Ransomware Great Again », bug bounty, support Linux/ESXi, triple extorsion |
| LockBit-NG-Dev/4.0 | Décembre 2024 | Refonte en .NET, infrastructure étendue, infrastructure dark web améliorée |
Identification du leader (2024)
Le 7 mai 2024, les autorités internationales ont dévoilé l’identité du chef du groupe : Dmitry Yuryevich Khoroshev (alias « LockBitSupp » ou « putinkrab »), un développeur russe de 31 ans originaire de Voronej. Il a été inculpé de 26 chefs d’accusation et ses avoirs ont été gelés.
Statistiques d’Impact et Ampleur des Attaques
Couverture mondiale
LockBit s’impose comme le rançongiciel numéro 1 en volume d’attaques :
| Métrique | Chiffre | Source |
|---|---|---|
| Attaques menées (2022-2024) | 7 000+ | Gouvernement britannique / NCA |
| Attaques aux États-Unis (2020-2023) | ~1 700 | CISA / FBI |
| Rançons extorquées | 1 milliard de dollars | Gouvernement britannique |
| Responsabilité 2023 | 44% des incidents mondiaux | Agences internationales |
| Affiliés actifs (2024) | 188+ | National Crime Agency |
Pays les plus touchés
Les cinq pays ayant subi le plus d’attaques entre juin 2022 et février 2024 :
- États-Unis (attaques massives, plus 300 victimes identifiées)
- Royaume-Uni (santé, administration, infrastructure)
- France (69 attaques en 2022-2023, hôpitaux ciblés)
- Allemagne (industrie, équipementiers)
- Chine (firmes de high-tech comme TSMC)
Secteurs d’activité les plus ciblés
- Santé (hôpitaux, cliniques) – cibles de choix
- Éducation (universités, écoles)
- Secteur public (administrations, collectivités)
- Industrie et technologie (fabricants, semiconductors)
- Services financiers (banques, assurances)
Techniques d’Attaque et Modes Opératoires
Vecteurs d’accès initial
LockBit exploite plusieurs points d’entrée :
- RDP (Remote Desktop Protocol) mal configuré ou compromis
- Credentials achetées auprès de brokers d’accès réseau
- Phishing avec pièces jointes malveillantes
- Exploits de vulnérabilités zero-day ou non patchées (CVE-2018-13379 sur VPN Fortinet)
- Accès insider via collaborateurs corrompus
Processus d’exploitation
- Reconnaissance : énumération des ressources importants, identification des contrôleurs de domaine
- Mouvement latéral : propagation via SMB, credentials volés, outils comme PsExec ou Cobalt Strike
- Prérequis de chiffrement : désactivation des solutions de sécurité (antivirus, pare-feu)
- Chiffrement : AES 256 + RSA sur les premiers kilobytes de chaque fichier (gain de vitesse)
- Extorsion : affichage de ranson note sur tous les postes, menaces de publication
Outils techniques utilisés
- StealBit : automatise l’exfiltration de données
- Mimikatz : vol de credentials Windows
- GMER / Process Hacker : contournement des défenses
- Advanced Port Scanner : reconnaissance réseau
- PowerShell Empire : exécution de code à distance
Grandes Victimes et Cas d’École
Attaques emblématiques
Thales (2022) : Attaque double en janvier et octobre 2022 ; vol de 9,5 Go de données sur contrats en Italie et Malaisie, demande de rançon refusée.
Continental (2022) : Équipementier allemand victime de vol de 50 Go, demande de 50 millions d’euros ; données partagées avec concurrents (danger d’espionnage industriel).
Boeing (2023) : Ransomware affectant la division pièces détachées ; 500 Go de données exfiltrées et publiées.
TSMC (2023) : Accès via un fournisseur ; demande de 70 millions de dollars de rançon.
ICBC (2023) : Attaque rare contre une institution liée à la Chine ; perturbation des transactions du Trésor américain.
Hôpital de Corbeil-Essonnes (2022) : Demande de 10 millions de dollars ; exemple majeur du ciblage des structures sanitaires en France.
L’Opération Cronos : Le Démantèlement Policier (Février 2024)
Contexte et mobilisation internationale
En février 2024, une opération coordonnée de grande ampleur impliquant la National Crime Agency (UK), le FBI (USA), Europol et des forces de 10 autres pays a frappé LockBit. Cette opération, baptisée « Cronos », visait à démanteler l’infrastructure du groupe.
Résultats sécurisés
| Élément saisi | Nombre |
|---|---|
| Serveurs saisis | 34 + 11 000 domaines/serveurs globaux |
| Clés de déchiffrement récupérées | 1 000+ |
| Portefeuilles crypto saisis | 200+ |
| Bitcoin saisi | 2 200 BTC (~112 millions USD) |
| Adresses crypto identifiées | 30 000 |
Arrestations et inculpations
- États-Unis : 5 arrestations
- Europe : 7+ arrestations (France, Pologne, Ukraine, Espagne, Israël)
- Dmitry Khoroshev (leader) : inculpé de 26 chefs d’accusation, avoirs gelés, FBI offre 15 millions de dollars pour sa capture
Limites de l’opération
Malgré le succès tactique, LockBit n’a pas été définitivement éliminé :
- Les serveurs PHP étaient contrôlés, mais les sauvegardes sans PHP n’ont pas été touchées
- Dès le 22-24 février 2024, de nouveaux sites LockBit réapparaissaient
- Le groupe a continué ses opérations avec une capacité réduite
Comment se Protéger Contre LockBit
Mesures techniques
- Patchs de sécurité : Application systématique des mises à jour critiques
- RDP securisé : Limitation d’accès, VPN obligatoire, authentification multi-facteur
- Segmentation réseau : Isolement des données critiques
- Sauvegarde offline : Copies de données non connectées au réseau
- EDR/XDR : Outils de détection et réaction aux menaces
- Monitoring : Analyse des logs, détection d’anomalies de trafic
- Email gateway : Filtrage anti-phishing avancé
Mesures organisationnelles
- Formation des salariés : Sensibilisation au phishing et social engineering
- Politique d’accès : Least privilege, révocation rapide des accès
- Incident response : Plan de réponse documenté, tests réguliers
- Assurance cyber : Couverture adaptée aux risques
Signaux de compromission à surveiller
- Trafic RDP anormal
- Énumération de réseau inhabituelle
- Création de tâches planifiées suspectes
- Chiffrement massif de fichiers
- Affichage de ranson notes
Conclusion
LockBit incarne l’évolution des menaces cybercriminelles modernes : organisation sophistiquée, modèle business durable, résilience exceptionnelle face aux opérations policières. Bien que l’opération Cronos ait réduit ses capacités d’attaque en 2024, le groupe a démontré sa capacité à rebondir avec LockBit 4.0 et 5.0.