Qui est réellement :

Lockbit

Introduction

Lockbit est l'un des groupes de cybercriminels les plus actifs et sophistiqués du paysage actuel du ransomware. Connus pour leur rapidité, leur efficacité et leur capacité à contourner les défenses des entreprises et des administrations, ils ont marqué de nombreux secteurs à travers le monde. Mais qui sont réellement ces hackers ? Comment opèrent-ils ? Quelle est leur influence et leur avenir ? Cet article fait le point sur ce groupe redouté.

Origine et fonctionnement du groupe

Lockbit est un groupe russophone qui se distingue par sa stratégie d’attaque bien rodée et son organisation en tant que « Ransomware-as-a-Service » (RaaS). Ce modèle leur permet de recruter des affiliés, moyennant un droit d’entrée en Bitcoin et la preuve d’une expertise technique en cyberattaque. En échange, ces affiliés utilisent les outils développés par Lockbit pour mener des attaques contre des entreprises et institutions, partageant ensuite les rançons avec le groupe principal. Une particularité notable de Lockbit est son positionnement politique : le groupe évite d’attaquer la Russie et ses alliés afin de ne pas s’attirer les foudres des autorités russes. De plus, Lockbit demande à ses affiliés de ne pas cibler des secteurs particulièrement sensibles tels que la santé, l’éducation et l’industrie pétrolière, afin de minimiser les représailles des forces de l’ordre internationales.

Un mode opératoire efficace et redoutable

L’attaque typique de Lockbit se déroule en trois phases principales :

- Phase d’infiltration : les cybercriminels utilisent l’ingénierie sociale pour tromper les employés et pénétrer les systèmes informatiques visés.

- Phase d’exploitation : une fois à l’intérieur du réseau, ils explorent les infrastructures, identifient les systèmes critiques et préparent l’attaque.

- Phase d’attaque : les cybercriminels déploient leur ransomware, chiffrant les données des victimes et les menaçant de divulgation si la rançon n’est pas payée.

Lockbit se propage très rapidement via un hôte infecté, notamment en exploitant des scripts PowerShell et le protocole SMB pour se déplacer latéralement au sein du réseau ciblé. Cette approche agressive et efficace leur permet d'infecter un grand nombre de machines en très peu de temps.

Un discours cynique et menaçant

Le message de rançon de Lockbit met en avant une logique commerciale froide : "Nous ne sommes pas un groupe motivé par la politique, nous voulons simplement de l’argent. Pensez à cela comme une formation payante pour vos administrateurs système." Le groupe insiste sur sa fiabilité : s’il ne respectait pas ses engagements après paiement, plus personne ne verserait de rançon. Pour justifier leur attaque, ils blâment souvent les entreprises elles-mêmes pour leur manque de protection en cybersécurité.

Un palmarès impressionnant de victimes

De nombreuses entreprises et collectivités ont été ciblées par Lockbit. Parmi les attaques les plus notables figurent :

- Toronto District School Board (Canada, administration) – septembre 2024

- Soprema (France, BTP) – octobre 2024

- Bridgestone Americas (USA, pneumatiques) – octobre 2024

- Pays de la Loire (France, administration) – octobre 2024

- Kumho Tire (Corée du Sud, pneumatiques) – octobre 2024

- Silgan Holdings (USA, emballage) – octobre 2024

De nombreuses autres entreprises de taille plus modeste ont également été touchées.

Un déclin en cours ?

Cependant, des rumeurs circulent sur le développement de Lockbit 4.0, aussi appelé « Lockbit Green ». Ce nouvel outil pourrait relancer le groupe et le repositionner sur la scène mondiale.

1. Arrestations et saisies : Europol et les autorités britanniques ont récemment arrêté quatre hackers présumés liés au groupe, saisissant neuf serveurs critiques.

2. Arrêt d’un leader : L’un des créateurs de Lockbit, Rostislav Panev, a été arrêté en Israël et sera extradé vers les États-Unis.

3. Montée en puissance de concurrents : RansomHub, un autre groupe de cybercriminels, semble avoir pris le relais, devenant le groupe de ransomware le plus actif selon Check Point Research.

Depuis fin 2024, Lockbit semble en perte de vitesse. Plusieurs facteurs expliquent cette tendance :

Conclusion

Lockbit a marqué l’histoire récente de la cybercriminalité par son approche méthodique et sa capacité à frapper fort et vite. Cependant, les pressions exercées par les forces de l’ordre et la concurrence émergente pourraient signifier un déclin progressif du groupe. Seul l’avenir dira si Lockbit 4.0 leur permettra de reprendre leur place de leader ou si une nouvelle ère de cybercriminalité est en train de s’ouvrir avec d’autres acteurs. Dans tous les cas, les entreprises doivent redoubler de vigilance et renforcer leurs défenses en cybersécurité pour se prémunir contre ces menaces toujours plus sophistiquées.