Qui sont les cybercriminels LOCKBIT 3.0 ?

LockBit est un logiciel de Ransomware-as-a-Service (RaaS) paru pour la 1ère fois en septembre 2019 sur la blogosphère russe. C’est aussi par extension, le nom du groupe de hackers qui l’exploite.

Il bloque, à ses utilisateurs, l’accès aux systèmes informatiques en échange d’une rançon. Pour cela, le rançongiciel analyse automatiquement les ressources importantes, propage l’infection et chiffre tous les systèmes informatiques accessibles d’un réseau.

Les cyberpirates procèdent habituellement à une double extorsion : exfiltration des données puis chiffrement de celles-ci. Dans le cadre d’un non-paiement de la victime, les opérateurs de LockBit 3.0 publient les données exfiltrées sur leur site officiel – disponible sur le dark web.

Comme pour toute organisation dans une démarche d’amélioration continue, LockBit a évolué successivement, en version 2.0 puis désormais en 3.0. Le slogan de cette nouvelle version parue le 27 juin 2022 est « Make Ransomware Great Again ». LockBit invite via un programme de bug bounty (le premier d’un groupe cybercriminel), tous les chercheurs en sécurité, pirates éthiques et non éthiques de la planète, à participer à l’amélioration de son ransomware via des récompenses allant de 1000 $ à 1million de $.

Outre l’amélioration des capacités de chiffrement du ransomware, LockBit 3.0 embarque un système intégré de communication entre le pirate et sa cible, avec des négociations qui parfois sont rendues publiques. Ceci permet de renforcer l’intimidation des victimes pour le paiement des rançons via une posture plus agressive. Ces différents points font aujourd’hui de LockBit le rançongiciel numéro 1 en nombre d’attaques revendiquées, tous secteurs d’activités confondus.

Les origines de LockBit 3.0 ne sont pas clairement définies, mais certains experts en cybercriminalité pensent que ce groupe aurait un lien avec la Russie. Les malwares utilisés par ses membres sont conçus pour ne pas infecter les ordinateurs situés dans les pays russophones. Par ailleurs, le groupe est actif sur des forums de discussions russes en lien avec la cybercriminalité.

Bien qu’ils aient décidé de rester neutres à l’égard du conflit qui oppose l’Ukraine à la Russie, LockBit fait partie des acteurs cybercriminels russophones très actifs sur la période. De ce fait, la création d’une nouvelle version 3.0 du ransomware LockBit durant le conflit peut laisser penser que celui-ci a été envisagé, au moins partiellement, en réaction aux hostilités occidentales face aux actions russes (sanctions économiques, diplomatiques…).

Fiche technique

• Date création : septembre 2019
• Évolutions : V1(2019), V2 (2021), V3 (2022)
• Spécialité : Ransomware
• Motivation : Financière
• Secteurs d’attaques privilégiés :  Santé (1) et éducation (2)
• Caractéristiques : Vente du logiciel comme service (RaaS)

SysDream vous accompagne pour la gestion du risque cyber pour votre système informatique. Nous mettons à votre disposition (que vous soyez client ou non) une équipe d’experts spécialisés dans la réponse aux incidents et l’investigation numérique pour contenir un incident de sécurité informatique, y remédier et enquêter sur les sources de l’attaque.

N’ATTENDEZ PAS D’ÊTRE ATTAQUÉS ! Contactez-nous

https://sysdream.com/audit-conseil/ris-reponse-incidents-securite/