Accueil🇫🇷Chercher

LockBit

LockBit est un rançongiciel utilisé depuis 2019. Par extension, c'est aussi le nom du groupe de hackers qui l'exploite.

Présentation du rançongiciel

Le développement de la version LockBit 2.0 s'opère en 2021.

La version LockBit 3.0 voit le jour en mai 2022, elle est disponible en version Linux et Windows. La version LockBit 3.0 embarque un système intégré de communication entre hackers et cible, avec des négociations qui sont rendues publiques. Comme beaucoup de rançongiciels, il est disponible dans une version Raas « Ransomware as a service »[1]. Les membres du groupe procèdent habituellement à une double extorsion (exfiltration des données puis chiffrement de celles-ci), d'autres à une triple extorsion (attaque DDos en plus). En complément de Lockbit 3.0 qui chiffre les données des serveurs, Stealbit procède à l'exfiltration des données[2].

En 2022, Lockbit est le rançongiciel numéro 1 en nombre d'attaques revendiquées[3]. Fin 2022, le rançongiciel le plus actif avec environ 200 attaques mensuelles de la part de ses affiliés[4].

En septembre 2022, le code source du rançongiciel est dévoilé sur Github, probablement par un développeur en désaccord avec le groupe de pirates[5].

En avril 2023, le groupe de hackers confirme au média Bleeping Computer (en) travailler sur une version pour Mac de leur rançongiciel[6].

Présentation du groupe de hackers

Le groupe est né le 3 septembre 2019.

Russophone, le groupe revendique le fait que ses membres soient nés dans des anciennes républiques soviétiques. De ce fait, il ne s'en prend pas aux intérêts russes, ni au pays de l'ex-URSS. Par extension et afin d'avoir la paix avec le pouvoir russe en place, les alliés du pouvoir russe sont laissés tranquille. C'est pourquoi l'attaque de mai 2023 contre un journal chinois apparait comme singulière[7] - [8]. Comparativement à ses concurrents, le groupe LockBit apparait comme beaucoup plus structuré, copiant sa structure de celle des startups. Au sein du programme destiné à leurs affiliés, le groupe LockBit va jusqu'à préciser les cibles à éviter afin de ne pas s'attirer les foudres des forces de l'ordre : les secteurs du médical, de l'éducation et du pétrole[3].

Le groupe LockBit recrute ses affiliés sur un forum en fonction de leur réputation et leur demande de verser une sorte de droit d'entrée en Bitcoins. Les compétences techniques et les antécédents dans le domaine du hacking sont également vérifiés. Toujours afin de ne pas être dissous, le groupe LockBit a ouvert un bug bounty qui permet de rémunérer les découvreurs de failles de sécurité dans l'architecture de Lockbit 3.0[1] - [3] - [9].

Le 21 septembre 2022, un membre du groupe, mécontent à l'égard du groupe, décide de publier sur internet (via un message Twitter) le code source du ransomware utilisé par le groupe : LockBit 3.0. A partir de là, un groupe de hackers concurrents va se former : Bl00dy. L'attaque de Thales opérée en novembre 2022 serait comme une manière de renaître à la suite de la publication du code de leur ransomware[10].

En octobre 2022, la police canadienne a arrêté un ressortissant russo-canadien de 33 ans, Mikhael Vasiliev, soupçonné d'être un acteur majeur du groupe LockBit. L'exploitation du matériel saisi montre que la hacker arrêté serait impliqué dans plus d'une centaine d'affaires en France et serait lié à plusieurs groupes de hackers (Lockbit mais aussi Blackcat, Ragnarlocker, Darkside et d'autres)[11] - [12].

En mai 2023, le FBI offre une récompense de 10 millions de dollars pour toute information sur Mikhail Matveev, un membre présumé de Lockbit. Selon le FBI, il serait un membre actif du cybercrime et participerait au développement et à l'évolution des rançongiciels[13].

En juin 2023 sept agences internationales de cybersécurité (France, Nouvelle Zélande, États-Unis, Royaume Uni, Canada, Allemagne, Australie) mutualisent leurs efforts pour faire front commun contre ce groupe de hackers. Ces agences ont publié un mode d'emploi à destinations des organisations afin de se protéger de ce rançongiciel[14].

Le la police américaine a mis la main sur un ressortissant russe de 20 ans nommé Ruslan Magomedovich Astamirov. Ce dernier a été arrêté en Arizona et est soupçonné d'être membre du collectif LockBit. Originaire de Tchétchénie il aurait participé à des attaques avec le rançongiciel entre 2020 et 2023 et serait un affilié du gang LockBit[15].

Principales attaques

Selon les pays, LockBit est responsable d'entre 16% et 27% des attaques par rançongiciel en fonction du pays. Depuis 2020, LockBit représente 1700 attaques dans le monde. En France le groupe est à l'origine de 69 piratages en 2022 et 2023[14].


En 2022

En janvier 2022, le groupe d'Ă©lectronique Thales figure parmi les victimes de Lockbit 2.0[16].

En juillet 2022, les services administratifs et de gestion de La Poste Mobile sont attaqués[3].

En septembre 2022, l'hôpital de Corbeil Essonnes est visé avec une demande de rançon de 10 millions de dollars[17].

Le 14 septembre 2022, les pirates du groupe revendiquent des cyberattaques contre 28 organismes, dont 12 qui concerneraient des organismes français[18].

En octobre 2022, le groupe Lockbit revendique l'attaque de Pendragon PLC (en), un groupe de revendeurs automobiles au Royaume-Uni. La rançon pour décoder les fichiers et ne pas révéler leur contenu est de 60 millions $[19].

Le 31 octobre 2022, le groupe de hackers Lockbit revendique avoir attaqué pour la deuxième fois le groupe Thales. Le groupe Lockbit ne demande pas de rançon mais affiche un décompte se terminant le 7 novembre, date à laquelle les données seront publiées. Le groupe de hackers propose son assistance aux clients de Thales qui seraient impactés par ce vol, afin de porter plainte contre Thales, un groupe « qui a grandement négligé les règles de confidentialité »[20]. Le 10 novembre 2022, le groupe LockBit 3.0 publie les informations volées sur le darknet. L'archive de 9,5 Go contient des informations relatives aux contrats de Thales en Italie et en Malaisie[21] - [22].

En août 2022, l'équipementier allemand Continental a subi une attaque par ransomware de la part du groupe LockBit 3.0. En novembre 2022, sans réponse à sa demande de rançon, le groupe de hackers à publié une partie des données volées et propose l'accès à la totalité des données pour 50 millions d'euros. Parmi les données piratées on trouve la vie privée des salariés du groupe, mais aussi les échanges avec les constructeurs automobiles allemands. Au delà du vol de données, le danger est d'ouvrir la voie à l'espionnage industriel. En effet parmi les échanges avec Volkswagen, on trouve les aspects informatiques, de la conduite automatisée au divertissement sur lesquels Volkswagen souhaitait que Continental s'investisse[23].

En novembre 2022, l'OEHC — Office d'Équipement Hydraulique de Corse — est victime d'une cyberattaque avec chiffrement des données informatiques de l'office. Une demande de rançon a été effectuée par le groupe de hackers, restée sans réponse de la part de l'OEHC[24].

En décembre 2022, le groupe de hackers Lockbit revendique l'attaque de l'administration des finances de Californie. Le bureau du gouverneur a reconnu être victime d'une attaque sans en préciser l'importance. Lockbit revendique avoir volé 246.000 fichiers d'un volume total de 75,3 Gb[25].

En décembre 2022, le groupe de hackers revendique l'attaque de l'administration du port de Lisbonne. Le montant de la rançon est de 1,5 million de dollars à payer avant le 18 janvier 2023[26].

Le 18 décembre 2022, le groupe de hackers s'en est pris à l'hôpital pour enfants SikKids de Toronto. Après s'être aperçus de leur bévue, le groupe de hackers arrête l'attaque, s'excuse et propose gratuitement la solution pour récupérer les fichiers chiffrés[27].

En 2023

En janvier 2023, le groupe de hackers revendique avoir attaqué l'entreprise de luxe Nuxe[28].

En janvier 2023, le groupe de hackers revendique l'attaque de Royal Mail. Les activités internationales de l'opérateur britannique sont touchées[29].

En janvier 2023 le groupe Elsan (groupe de cliniques privées) fait l'objet d'une cyberattaque de la part de Lockbit. Le groupe de hackers a subtilité 821 Go de données du siège de l'entreprise [30].

En février 2023, le groupe revendique l'attaque des librairies Indigo Books and Music, une chaîne de librairies canadiennes [31].

En mars 2023, le groupe revendique l'attaque du groupe BRL, un spécialiste de l'eau de la région Occitanie[32].

Le 16 mai 2023, le groupe de hackers revendique l'attaque la branche hongkongaise du journal chinois China Daily. C'est la première fois que ce groupe de hackers s'attaque à une entreprise liée au pouvoir chinois. De la même façon que Lockbit ne s'attaque pas au pouvoir russe, il évite de s'attaquer aux alliés du pouvoir russe[7].

En mai 2023, le groupe de hackers revendique l'attaque de Voyageurs du monde. Le groupe de hackers vole quelques 10.000 documents d'identité provenant des dossiers clients de l'entreprise[33].

Fin juin 2023, le groupe TSMC est victime d'une attaque par rançongiciel par l'intermédiaire d'un de ses fournisseurs. La rançon demandée par LockBit est de 70 millions de dollars[34].

Notes et références

Références
  1. Valéry Rieß-Marchive, « Victimes de LockBit 3.0 : attention à la divulgation des négociations » Accès libre, Le Mag IT, (consulté le )
  2. Adrien Le Sech, « Analyse du groupe rançongiciel LockBit 3.0 : contexte, jeu d’intrusion et recommandations de sĂ©curitĂ© » Accès libre, ZDNet, (consultĂ© le )
  3. François Manens, « Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ? » Accès libre, La Tribune, (consulté le )
  4. (en) Shingo Matsugaya, « LockBit, BlackCat, and Royal Dominate the Ransomware Scene » Accès libre, TrendsMicro, (consulté le )
  5. Bogdan Bodnar, « Le redoutable ransomware Lockbit a fuité après une dispute avec des hackers », Numérama, (consulté le )
  6. Bogdan Bodnar, « Les Mac d’Apple ne sont plus à l’abri du puissant ransomware Locbkit » Accès libre, Numerama, (consulté le )
  7. Bogdan Bodnar, « Cyberattaque contre un grand mĂ©dia chinois, pourquoi est-ce inĂ©dit ? » Accès libre, NumĂ©rama, (consultĂ© le )
  8. Juliette Paquier, « Cybercriminalité : LockBit, ces hackers russophones qui ciblent régulièrement la France » Accès libre, La Croix, (consulté le )
  9. Damien Bancal, « LockBit 3.0 : des pirates aux centaines de piratage » Accès libre, Zataz, (consulté le )
  10. Théo Janvier, « Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux » Accès libre, Journal du Net, (consulté le )
  11. Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit a été arrêté au Canada » Accès libre, Numérama, (consulté le )
  12. « Un hacker arrêté au Canada serait lié à plus de 100 attaques au rançongiciel en France », Le Figaro, (consulté le )
  13. Bogdan Bodnar, « On connait le visage d’un célèbre hacker russe recherché par le FBI » Accès libre, Numerama, (consulté le )
  14. « Cyberattaques: la France et six autres pays se liguent contre le groupe russophone LockBit » Accès libre, BFMTV, (consulté le )
  15. Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit arrêté aux États-Unis » Accès libre, Numérama, (consulté le )
  16. Damien Licata Caruso, « Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale » Accès libre, Le Parisien, (consulté le )
  17. « Cybercriminalité : l’hôpital de Corbeil-Essonnes refuse de payer la rançon, les hackeurs ont commencé à diffuser des données » Accès libre, Le Monde, (consulté le )
  18. Bogdan Bodnar, « Les hackers de l'hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d'organismes français » [archive du ] [html], sur Numerama, (consulté le )
  19. (en) Bill Toulas, « Pendragon car dealer refuses $60 million LockBit ransomware demand », Bleeping Computer, (consulté le )
  20. David Di Giacomo, « Un groupe de hackers revendique une cyberattaque contre Thalès », France Info, (consulté le )
  21. « Cybersécurité : des données volées à Thales publiées sur le darkweb » Accès libre, Le Figaro, (consulté le )
  22. Louis Adam, « Thales : Lockbit diffuse des données volées, l’entreprise dément toute intrusion dans son système » Accès libre, Le Monde, (consulté le )
  23. Nathalie Steiwer, « Continental victime d'une cyberattaque à 50 millions de dollars » Accès libre, Les Échos, (consulté le )
  24. Sébastien Bonifay, « Cyberattaque : L'OEHC refuse de négocier, et promet un retour à la normale le plus rapidement possible », France 3, (consulté le )
  25. (en) Ionut Ilascu, « LockBit claims attack on California's Department of Finance » Accès libre, Bleeping Computer, (consulté le )
  26. (en) Bill Toulas, « LockBit ransomware claims attack on Port of Lisbon in Portugal » Accès libre, Bleeping Computer, (consulté le )
  27. Mallory Delicourt, « Ransomware : après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé » Accès libre, Clubic, (consulté le )
  28. Gabriel Thierry, « Le gang LockBit tente de faire chanter l’entreprise Nuxe » Accès libre, ZD Net, (consulté le )
  29. (en) Lawrence Abrams, « Royal Mail cyberattack linked to LockBit ransomware operation » Accès libre, Bleeping Computer, (consulté le )
  30. Gabriel Thierry, « Le leader français de la santé privée visé par LockBit » Accès libre, ZDNet, (consulté le )
  31. « Qu’est-ce que LockBit, le rançongiciel utilisé contre les librairies Indigo » Accès libre, Les affaires, (consulté le )
  32. Gabriel Thierry, « LockBit étoffe encore son tableau de chasse hexagonal » Accès libre, ZDNet, (consulté le )
  33. Gabriel Thierry, « Le piratage de Voyageurs du monde se solde par la fuite de plusieurs milliers de copies de passeports » Accès libre, ZD Net, (consulté le )
  34. (en) Bill Toulas, « TSMC denies LockBit hack as ransomware gang demands $70 million » Accès libre, Bleeping Computer, (consulté le )

Annexes

Articles connexes
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.