Cyber Breaches

LockBit a été, durant la majeure partie de 2022 et 2023, l’opération de ransomware-as-a-service (RaaS) dominante au monde — responsable à un moment d’environ un quart de toutes les attaques par rançongiciel observées. Le collectif est russophone, ses opérateurs supposément basés en Russie et dans les États de la CEI, et sa figure développeur — connue sous le nom de LockBitSupp — était inhabituellement médiatique pour un opérateur underground, donnant des interviews et offrant des bug bounties sur son propre code.

LockBit fonctionnait comme un franchise RaaS classique : une équipe centrale développait le chiffreur et gérait le site de fuite (lockbitblog), tandis que les affiliés menaient les intrusions et se partageaient les rançons avec un ratio d’environ 80/20 en faveur de l’affilié. Le modèle s’est avéré robuste parce que l’équipe centrale ne touchait jamais directement aux victimes, lui permettant de monter à l’échelle.

Opération Cronos

Les 19–20 février 2024, une opération multi-agences menée par la National Crime Agency britannique avec le FBI, Europol et dix services de police nationaux a saisi le site de fuite de LockBit, 34 serveurs, 200 comptes cryptos et plus de 1 000 clés de déchiffrement. Le site a été remplacé par une page de saisie de la NCA. L’opération a aussi démasqué LockBitSupp comme un citoyen russe nommé Dmitri Khorochev.

LockBit a tenté de relancer son infrastructure, mais la marque était durablement endommagée : les affiliés ont fait défection vers des opérations rivales (notamment RansomHub et Akira), et l’activité observée a fortement chuté tout au long de 2024.

Pourquoi c’est important

LockBit est désormais le cas de référence d’une opération de démantèlement réussie contre une franchise de rançongiciels. Son outillage, le format de son site de fuite et son modèle d’affiliation ont influencé toutes les grandes opérations RaaS qui ont suivi (BlackBasta, ALPHV, Cl0p, RansomHub). Les indicateurs de compromission publiés par la CISA (alerte AA23-165A) restent opérationnellement utiles pour les défenseurs.

Incidents liés

RançongicielContenu20 juin 2024

Rançongiciel Brain Cipher (LockBit 3.0) contre le PDNS indonésien (2024)

Brain Cipher — un rançongiciel dérivé de LockBit 3.0 — a chiffré le Centre national de données temporaire (PDNS) indonésien, paralysant 282 services publics numériques pendant des semaines, de l'immigration à la délivrance des passeports. Les attaquants exigeaient 8 M$ ; le gouvernement a refusé. Brain Cipher a ensuite publié un déchiffreur gratuitement, accompagné d'excuses.

Victim: Pusat Data Nasional Sementara (PDNS), Indonésie

RançongicielContenu8 décembre 2023

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim: Westpole / PA Digitale (plateforme Urbi)

RançongicielContenu9 novembre 2023

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim: ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss: $9.00B

RançongicielContenu27 octobre 2023

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim: Boeing — Activité Pièces détachées et Distribution

RançongicielContenu1 août 2022

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim: Continental AG