Skip to content

Incidents attribués à :

LockBit

Opération de rançongiciel-as-a-service russophone, dominante 2022–2024 jusqu’à la saisie policière (Opération Cronos).

LockBit a été, durant la majeure partie de 2022 et 2023, l’opération de ransomware-as-a-service (RaaS) dominante au monde — responsable à un moment d’environ un quart de toutes les attaques par rançongiciel observées. Le collectif est russophone, ses opérateurs supposément basés en Russie et dans les États de la CEI, et sa figure développeur — connue sous le nom de LockBitSupp — était inhabituellement médiatique pour un opérateur underground, donnant des interviews et offrant des bug bounties sur son propre code.

LockBit fonctionnait comme un franchise RaaS classique : une équipe centrale développait le chiffreur et gérait le site de fuite (lockbitblog), tandis que les affiliés menaient les intrusions et se partageaient les rançons avec un ratio d’environ 80/20 en faveur de l’affilié. Le modèle s’est avéré robuste parce que l’équipe centrale ne touchait jamais directement aux victimes, lui permettant de monter à l’échelle.

Opération Cronos

Les 19–20 février 2024, une opération multi-agences menée par la National Crime Agency britannique avec le FBI, Europol et dix services de police nationaux a saisi le site de fuite de LockBit, 34 serveurs, 200 comptes cryptos et plus de 1 000 clés de déchiffrement. Le site a été remplacé par une page de saisie de la NCA. L’opération a aussi démasqué LockBitSupp comme un citoyen russe nommé Dmitri Khorochev.

LockBit a tenté de relancer son infrastructure, mais la marque était durablement endommagée : les affiliés ont fait défection vers des opérations rivales (notamment RansomHub et Akira), et l’activité observée a fortement chuté tout au long de 2024.

Pourquoi c’est important

LockBit est désormais le cas de référence d’une opération de démantèlement réussie contre une franchise de rançongiciels. Son outillage, le format de son site de fuite et son modèle d’affiliation ont influencé toutes les grandes opérations RaaS qui ont suivi (BlackBasta, ALPHV, Cl0p, RansomHub). Les indicateurs de compromission publiés par la CISA (alerte AA23-165A) restent opérationnellement utiles pour les défenseurs.

Incidents liés

RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B
RançongicielContenu

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim
Boeing — Activité Pièces détachées et Distribution
RançongicielContenu

Rançongiciel LockBit contre Indigo Books

Des affiliés de LockBit ont chiffré le plus grand libraire du Canada, mettant le site web et les systèmes de paiement en magasin hors ligne pendant des semaines. Indigo a publiquement refusé la rançon ; LockBit a publié les données personnelles d'employés.

Victim
Indigo Books & Music Inc.
Loss
$40.0M
Records
5.0K
RançongicielContenu

Rançongiciel LockBit contre Royal Mail

Des affiliés de LockBit ont chiffré les systèmes d'exportation internationale de Royal Mail, paralysant tous les services postaux vers l'étranger depuis le Royaume-Uni pendant six semaines. Royal Mail a publiquement refusé la demande de rançon de 65,7 M£ ; LockBit a divulgué progressivement les données exfiltrées.

Victim
Royal Mail International
Loss
$60.0M
RançongicielRésolu

Attaque par rançongiciel d'Advanced / NHS 111

Une attaque du rançongiciel LockBit 3.0 contre le fournisseur logiciel du NHS, Advanced, a paralysé le service de triage NHS 111 et contraint les soignants à revenir au papier et au crayon, exposant les données de dizaines de milliers de patients et entraînant une amende de 3,07 millions de livres de l'ICO.

Victim
Advanced (Advanced Computer Software Group)
Loss
$27.0M
Records
82.9K
RançongicielContenu

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim
Continental AG