Loading AI tools
groupe de pirates De Wikipédia, l'encyclopédie libre
LockBit est un rançongiciel utilisé depuis 2019. Par extension, c'est aussi le nom du groupe de pirates qui l'exploite.
Créateur | Dmitry Yuryevitch Khoroshev, alias LockBitSupp |
---|---|
Première version | |
Type | Groupe de cybercriminels (d) |
Le groupe cybercriminel LockBit, formé en septembre 2019, se distingue par une structure et des critères de recrutement basés sur la réputation et les compétences techniques. LockBit est à l'origine de 1 700 attaques dans le monde depuis 2020. LockBit 3.0 a notamment attaqué de grandes entreprises stratégiques comme Thales, Continental et TSMC.
En février 2024, une opération de police internationale (« opération Cronos ») met un coup de frein aux opérations du groupe. Le 7 mai 2024, la National Crime Agency du Royaume-Uni (NCA), le FBI et Europol annonce avoir démasqué et sanctionné le leader de LockBit Dmitry Khoroshev, alias LockBitSupp. D'après les données récupérées dans les systèmes de LockBit : « entre juin 2022 et février 2024, plus de 7 000 attaques ont été organisées à l'aide de leurs services. Les cinq pays les plus touchés sont les États-Unis, le Royaume-Uni, la France, l'Allemagne et la Chine ».
Le logiciel malveillant Lockbit était auparavant connu sous le nom de ".abcd", d'après l'extension de fichier qui était ajoutée aux fichiers chiffrés lorsqu'ils étaient rendus inaccessibles[1].
Le développement de la version LockBit 2.0 date de 2021[2].
La version LockBit 3.0 date de mai 2022 et fonctionne en version Linux et Windows. Elle embarque un système intégré de communications entre le groupe et sa cible, avec des négociations rendues publiques. Comme beaucoup de rançongiciels, il est disponible dans une version RaaS « Ransomware as a service »[3]. Les membres du groupe procèdent habituellement à une double extorsion (exfiltration des données puis chiffrement de celles-ci), d'autres à une triple extorsion (attaque DDoS en plus). En complément de Lockbit 3.0, qui chiffre les données des serveurs, Stealbit procède à leur exfiltration[4].
En 2022, LockBit est le rançongiciel numéro un en nombre d'attaques revendiquées[5]. Fin 2022, il devient le rançongiciel le plus actif avec environ 200 attaques mensuelles issues de ses affiliés[6].
En septembre 2022, le code source du rançongiciel est dévoilé sur GitHub, probablement par un développeur en désaccord avec le groupe[7]. À la suite de cette divulgation du code source, de nombreux groupes de pirates se le sont appropriés et en ont tiré profit sans avoir à payer de droits au groupe LockBit. En août 2023, Kaspersky estime que près de 400 versions du rançongiciel sont désormais dans la nature[8].
En avril 2023, le groupe confirme au média Bleeping Computer qu'il travaille sur une version pour Mac[9].
Il est né le 3 septembre 2019.
Russophone, il revendique le fait que ses membres soient nés dans d'anciennes républiques soviétiques. De ce fait, il ne s'en prend pas aux intérêts russes, ni à ceux de pays de l'ex-URSS. Par extension et afin d'avoir la paix avec le pouvoir russe en place, ses alliés sont laissés tranquilles. C'est pourquoi l'attaque de mai 2023 contre un journal chinois apparaît comme singulière[10],[11]. Comparé à ses concurrents, le groupe LockBit apparaît comme beaucoup mieux organisé, imitant la structure des startups. Au sein du programme destiné à ses affiliés, le groupe LockBit va jusqu'à préciser les cibles à éviter afin de ne pas s'attirer les foudres des forces de l'ordre : les secteurs de la santé, de l'éducation et du pétrole[5].
Il recrute ses affiliés sur un forum, en fonction de leur réputation et leur demande le versement d'une sorte de droit d'entrée en bitcoins. Les compétences techniques et les antécédents dans le domaine du hacking sont également vérifiés. Par ailleurs, dans le but d'améliorer son logiciel et de ne pas être attaqué, le groupe a ouvert un bug bounty permettant de rémunérer les découvreurs de failles de sécurité dans l'architecture de Lockbit 3.0[3],[5],[12].
Le 21 septembre 2022, un membre du groupe, mécontent, décide de publier sur internet (via un message Twitter) le code source de LockBit 3.0. À la suite de cette fuite, un groupe de pirates concurrents va se former : Bl00dy. L'attaque de Thales opérée en novembre 2022 sera comme une forme de renaissance à la suite de la publication du code de leur rançongiciel[13].
En octobre 2022, la police canadienne arrête un ressortissant russo-canadien de 33 ans, Mikhail Vasiliev, soupçonné d'être un acteur majeur du groupe LockBit. L'étude du matériel saisi montre que ce hacker aurait été impliqué dans plus d'une centaine d'affaires en France, et lié à plusieurs groupes de pirates (Lockbit mais aussi Blackcat, Ragnarlocker, Darkside et d'autres)[14],[15]. Mikhail Vasiliev est jugé par un tribunal de l'Ontario (Canada) en mars 2024, où il est condamné à une peine de 4 ans de prison et 860 000 dollars canadiens d'amende[16]. Mais ce n'est que le début d'un périple qui doit mener Mikhail Vasiliev aux États-Unis dans l'état du New Jersey, puis en France[17].
En mai 2023, le FBI offre une récompense de 10 millions de dollars pour toute information sur Mikhail Pavlovich Matveev (connu sous le pseudonyme de « Wazawaka »). Selon le FBI, il serait un membre actif du cybercrime et participerait au développement et à l'évolution des rançongiciels[18].
En juin 2023, sept agences internationales de cyber-sécurité (France, Nouvelle-Zélande, États-Unis, Royaume-Uni, Canada, Allemagne, Australie) mutualisent leurs efforts pour faire front commun contre le groupe : elles publient un mode d'emploi à destination des entreprises afin qu'elles se protégent de ce rançongiciel[19].
Le la police américaine arrête, en Arizona, un ressortissant russe originaire de Tchétchénie : Ruslan Magomedovich Astamirov (20 ans), soupçonné d'appartenir au collectif LockBit et d'avoir participé à des attaques au rançongiciel entre 2020 et 2023[20].
Le 20 février 2024, Europol et la National Crime Agency ont coordonné une opération mondiale destinée à mettre fin aux activités du groupe. Il s'agit d'une opération de longue haleine (commencée en 2022 avec Eurojust), à la demande des autorités françaises. Deux membres du gang sont arrêtés en Pologne et en Ukraine alors que les autorités judiciaires françaises et américaines ont émis trois mandats d'arrêt internationaux et cinq actes d'accusation[21],[22].
Cette opération permet le démantèlement de 34 serveurs et la saisie de plus de 1 000 clés de déchiffrement dans de nombreux pays européens, aux États-Unis et jusqu'en Australie. La saisie de ces clés a permis le développement d'un outil de déchiffrement gratuit, mis à disposition du public via le portail No more ransom. Par ailleurs, près de 200 portefeuilles de crypto-monnaie ont été saisis, ce qui permet d'envisager un dédommagement éventuel des victimes de ce rançongiciel. La saisie des serveurs a permis de mettre la main sur le code source du rançongiciel, les données volées aux victimes et la liste de celles-ci. D'autre part, cette saisie a également permis de comprendre l'infrastructure de gestion des affiliés, de divers partenaires et de saisir des sites dans le dark web (« Onionland »)[21],[22]. Ce « coup de filet » a aussi montré que les développeurs de LockBit étaient en train de construire une version nouvelle de leur système malveillant de cryptage de fichiers, « baptisée LockBit-NG-Dev - susceptible de devenir LockBit 4.0 ». Selon la NCA, le groupe LockBit comptait en 2024 au moins 188 « affiliés »[23]. La société de sécurité Trend Micro a publié une analyse technique approfondie du code source de ce malware, analyse qui en révèle les paramètres de configuration complets[23]. Les données récupérées dans les systèmes de LockBit par les enquêteurs montrent qu'« entre juin 2022 et février 2024, plus de 7 000 attaques ont été organisées à l'aide de leurs services. Les cinq pays les plus touchés sont les États-Unis, le Royaume-Uni, la France, l'Allemagne et la Chine »[24].
Les dirigeants du groupe sont toujours en liberté, et ils disposent probablement de serveurs de sauvegarde ; mais l'opération Cronos a mis un sérieux frein à leurs activités illégales[21],[22]. Pour capturer le chef du groupe, dit LockBitSupp, le FBI propose, dans le cadre du programme TOCRP (Transnational Organised Crime Rewards Programme), 15 millions de dollars pour toute information menant à sa capture[25]. LockBit pourrait tenter de se reconstituer (au 22 février 2024, Ars Technica note que le ransomware LockBit continuait de se propager)[26],[23]. Mais les agences internationales annoncent qu'elles resteront « vigilantes » et ne « cesseront pas leurs efforts pour cibler ce groupe et ses associés »[27].
Pour se remettre de l'opération Cronos, LockBit lance, en avril 2024, une opération de phishing nommée LockBit Black Ransomware Campaign. LockBit mobilise les ressources du botnet Phorpiex pour diffuser des emails qui serviront eux-mêmes à diffuser des logiciels malveillants qui permettront d'obtenir des informations utilisables pour les prochaines campagnes de rançongiciel. Cette opération a été découverte par la New Jersey Cybersecurity and Communications Integration Cell (en)[28],[29].
Le 7 mai 2024, le FBI, la NCA et Europol annoncent avoir démasqué et sanctionné le leader de LockBit et révèlent son identité. Il s'agit de Dmitry Yuryevitch Khoroshev (Дмитрий Юрьевич Хорошев), alias LockBitSupp ou putinkrab, « qui prospérait grâce à l'anonymat et offrait une récompense de 10 millions de dollars à quiconque pourrait révéler son identité », tant il était certain de pouvoir préserver son anonymat. Il occupe les fonctions de créateur, développeur et administrateur du groupe LockBit. Il est alors soumis à une série de gels d'avoirs et à des interdictions de voyager [24]. De son côté, la justice américaine a promis une récompense pouvant atteindre 10 millions de dollars « pour toute information conduisant à son arrestation et/ou sa condamnation »[30],[31],[32],[33],[34],[35].
Dans une opération concertée entre plusieurs services de police européens, un membre de LockBit a été arrêté en France, deux personnes au Royaume-Uni et une en Espagne. Neufs serveurs ont, par ailleurs, été saisis[36].
Selon les pays, LockBit est responsable d'entre 16 % et 27 % des attaques par rançongiciel en fonction du pays. Depuis 2020, LockBit représente 1 700 attaques dans le monde. En France le groupe est à l'origine de 69 piratages en 2022 et 2023[19]. Selon le gouvernement britannique, entre juin 2022 et février 2024 le groupe totalise 7 000 attaques et 1 milliard de dollars de rançons extorquées[33].
En janvier 2022, le groupe d'électronique Thales figure parmi les victimes de Lockbit 2.0[37].
En juillet 2022, les services administratifs et de gestion de La Poste Mobile sont attaqués[5].
En septembre 2022, l'hôpital de Corbeil Essonnes est visé avec une demande de rançon de 10 millions de dollars[38].
Le 14 septembre 2022, les pirates du groupe revendiquent des cyberattaques contre 28 organismes, dont 12 concerneraient des organismes français[39].
En octobre 2022, le groupe Lockbit revendique l'attaque de Pendragon PLC (en), un groupe de revendeurs automobiles au Royaume-Uni. Le montant de la rançon pour déchiffrer les fichiers et ne pas révéler leur contenu est de 60 millions de dollars[40].
Le 31 octobre 2022, le groupe de pirates revendique avoir attaqué pour la deuxième fois le groupe Thales. Lockbit ne demande pas de rançon mais affiche un décompte se terminant le 7 novembre, date à laquelle les données seront publiées. Ils proposent leur assistance aux clients de Thales qui seraient impactés par ce vol, afin qu'ils puissent porter plainte contre Thales, un groupe « qui a grandement négligé les règles de confidentialité »[41]. Le 10 novembre 2022, le groupe LockBit 3.0 publie les informations volées sur le darknet. L'archive de 9,5 Go contient des informations relatives aux contrats de Thales en Italie et en Malaisie[42],[43].
En août 2022, l'équipementier allemand Continental subit une attaque du groupe LockBit 3.0. En novembre 2022, sans réponse à sa demande de rançon, le groupe publie une partie des données volées et propose l'accès à la totalité des données pour 50 millions d'euros. Parmi les données piratées, on trouve la vie privée des salariés du groupe, mais aussi les échanges avec les constructeurs automobiles allemands. Au-delà du vol de données, le danger est d'ouvrir la voie à l'espionnage industriel. En effet parmi les échanges avec Volkswagen, on trouve les aspects informatiques sur lesquels Volkswagen souhaitait que Continental s'investisse : de la conduite automatisée au divertissement[44].
En novembre 2022, l'OEHC — Office d'Équipement Hydraulique de Corse — est victime d'une cyberattaque avec chiffrement de ses données. Une demande de rançon est effectuée par le groupe de pirates, restée sans réponse de la part de l'OEHC[45].
En décembre 2022, Lockbit revendique le vol de 246 000 fichiers d'un volume total de 75,3 Go, lors d'une attaque de l'administration des finances de Californie. Le bureau du gouverneur reconnaît être victime d'une attaque sans en préciser l'importance[46].
En décembre 2022, ils revendiquent l'attaque de l'administration du port de Lisbonne. Le montant de la rançon est de 1,5 million de dollars à payer avant le 18 janvier 2023[47].
Le 18 décembre 2022, ils s'en prennent à l'hôpital pour enfants SikKids de Toronto. Après s'être aperçu de sa bévue, le groupe arrête l'attaque, s'excuse et propose gratuitement la solution pour récupérer les fichiers chiffrés[48].
En janvier 2023, le groupe revendique avoir attaqué l'entreprise de luxe Nuxe[49].
En janvier 2023, ils revendiquent l'attaque de Royal Mail ; les activités internationales de l'opérateur britannique sont touchées[50],[51].
En janvier 2023 le groupe Elsan (groupe de cliniques privées) fait l'objet d'une cyberattaque de la part de Lockbit. Le groupe a subtilisé 821 Go de données au siège de l'entreprise[52].
En février 2023, le groupe revendique l'attaque de la chaîne de librairies canadiennes Indigo Books and Music[53] et en mars, l'attaque du groupe BRL, un spécialiste de l'eau de la région Occitanie[54].
En mars 2023, Lockbit pirate les systèmes de Maximum Industries, une entreprise qui fabrique des pièces pour SpaceX[51].
Le 16 mai 2023, c'est l'attaque de la branche hongkongaise du journal chinois China Daily. C'est la première fois qu'il s'en prend à une entreprise liée au pouvoir chinois. De la même façon que Lockbit ne s'attaque pas au pouvoir russe, il évite de s'attaquer à ses alliés[10].
En mai 2023, le groupe revendique l'attaque de Voyageurs du monde à qui ils volent quelques 10 000 documents d'identité provenant des dossiers clients de l'entreprise[55].
Fin juin 2023, le groupe TSMC est victime d'une attaque au rançongiciel par l'intermédiaire d'un de ses fournisseurs. La rançon demandée par LockBit est de 70 millions de dollars[56].
En septembre 2023, les serveurs de Zaun, une société britannique qui fournit des services de cybersécurité, notamment aux agences gouvernementales est attaquée. Des données sur les installations militaires et les prisons de haute sécurité au Royaume-Uni sont publiées sur le dark web[51].
En octobre 2023, c'est le groupe Boeing qui est victime d'une attaque. Selon Boeing, c'est l'activité de pièces détachées qui a été visée[57]. Faute d'un accord avec l'avionneur, le groupe publie la totalité des données extorquées (500 Go) le 10 novembre 2023[58].
En novembre 2023, ils s'en prennent à la filiale américaine de la banque chinoise ICBC, première banque du monde en termes d'actifs[51]. Le marché des bons du Trésor américain a été perturbé par cette attaque et les transactions de l'ICBC rendues impossibles. Selon des sources américaines, le responsable de l'attaque serait le groupe LockBit sans que l'on sache s'il s'agit du groupe lui-même ou de l'un de ses affiliés[59]. Normalement le groupe ne s'en prenant pas aux alliés de Moscou, afin de préserver de bonnes relations diplomatiques, cette attaque est très particulière et n'est pas référencée sur leur site sur le darknet[60].
Le 6 novembre 2023, le département du Loiret est touché par le rançongiciel LockBit. Le groupe donne 12 jours au département pour payer la rançon. De nombreux services ont été impactés (le réseau informatique du SDIS (Service départemental d'incendie et de secours), les collèges (notamment les impressions) et le conseil départemental du Loiret), une plainte à également été déposée[61].
Le groupe de pirates revendique l'attaque de la chaîne de restaurants Subway en janvier 2024. LockBit aurait exfiltré des centaines de Go de données. Subway n'a pas confirmé l'attaque[62].
Le groupe revendique, en janvier 2024, l'attaque de Foxsemicon, filiale de Foxconn. Outre le siphonnage des données, LockBit a défacé la page d'accueil de la cible avec un message explicite informant le visiteur du piratage de l'entreprise. Il s'agit là d'un nouveau mode d'action expérimenté par LockBit[63].
En avril 2024, après l'opération Cronos, le groupe tente un retour avec l'attaque de l'hôpital de Cannes. Le paiement de la rançon ayant été refusé par l'hôpital, les données (61 Go) sont mises en ligne par le groupe de hackers sur le dark web le . Il s'agit aussi pour le groupe d'une opération de communication à l'égard de ses affiliés afin de leur prouver que le groupe Lockbit n'est pas mort[64].
En 2024, le groupe cybercriminel CosmicBeetle s'attaque à des PME européennes ou asiatiques et usurpe l'identité du groupe LockBit dès la phase de négociations. Ils revendiquent leurs opérations avec un site sur le dark web qui se veut appartenir au groupe Lockbit[65].
En novembre 2022, une plainte pénale est déposée dans le district du New Jersey accusant Mikhail Vasiliev en lien avec sa participation au groupe de rançongiciels LockBit. Mikhail Vasiliev, qui a la double nationalité russe et canadienne, est actuellement détenu au Canada en attendant son extradition vers les États-Unis[35],[66].
En mai 2023, deux actes d'accusation sont rendus publics à Washington D.C., et dans le district du New Jersey, accusant Mikhail Pavlovich Matveev, également connu sous les noms de « Wazawaka », « m1x », « Boriselcin » et « Uhodiransomwar », d'avoir utilisé différentes variantes de ransomware, dont LockBit[35],[66].
En juin 2023, une plainte pénale est déposée dans le district du New Jersey contre Ruslan Magomedovich Astamirov, un ressortissant russe, en lien avec sa participation au groupe LockBit. Astamirov est actuellement en détention dans l'attente de son procès[35],[66].
En février 2024, un acte d'accusation est rendu public dans le district du New Jersey, accusant les ressortissants russes Artur Sungatov et Ivan Kondratyev, également connu sous le nom de « Bassterlord », d'avoir déployé LockBit[35],[66].
En mai 2024, Dimitri Iourievitch Khorochev, également connu sous le nom de « LockBitSupp », « LockBit », et « putinkrab », âgé de 31 ans, originaire de Voronej, en Russie, est inculpé par un acte d'accusation de 26 chefs d'accusation renvoyé par un grand jury du district du New Jersey[35],[67].
Le mai 2024, des sanctions contre Dmitry Khoroshev (administrateur et développeur de LockBit), sont annoncées par le FCDO en collaboration avec l'Office of Foreign Assets Control (OFAC) du département américain du Trésor et le ministère australien des Affaires étrangères.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.