Qui sont les cybercriminels LOCKBIT 3.0 ?

25 mai 2023

Cybersécurité

Nous continuons notre série consacrée aux cybercriminels avec ce second volet. Qui sont-ils ? Quelles sont leurs motivations ? Quelles sont leurs tactiques d’intimidation ?
LockBit 3.0 est un rançongiciel qui infecte les ordinateurs et chiffre les fichiers d’une organisation, les rendant inaccessibles à l'utilisateur. LockBit 3.0 est un rançongiciel qui infecte les ordinateurs et chiffre les fichiers d’une organisation, les rendant inaccessibles à l'utilisateur.

 

 

LockBit est un logiciel de Ransomware-as-a-Service (RaaS) paru pour la 1ère fois en septembre 2019 sur la blogosphère russe. C’est aussi par extension, le nom du groupe de hackers qui l’exploite.

Il bloque, à ses utilisateurs, l’accès aux systèmes informatiques en échange d’une rançon. Pour cela, le rançongiciel analyse automatiquement les ressources importantes, propage l’infection et chiffre tous les systèmes informatiques accessibles d’un réseau.

Les cyberpirates procèdent habituellement à une double extorsion : exfiltration des données puis chiffrement de celles-ci. Dans le cadre d’un non-paiement de la victime, les opérateurs de LockBit 3.0 publient les données exfiltrées sur leur site officiel – disponible sur le dark web.

Comme pour toute organisation dans une démarche d’amélioration continue, LockBit a évolué successivement, en version 2.0 puis désormais en 3.0. Le slogan de cette nouvelle version parue le 27 juin 2022 est « Make Ransomware Great Again ». LockBit invite via un programme de bug bounty (le premier d’un groupe cybercriminel), tous les chercheurs en sécurité, pirates éthiques et non éthiques de la planète, à participer à l’amélioration de son ransomware via des récompenses allant de 1000 $ à 1million de $.

Outre l’amélioration des capacités de chiffrement du ransomware, LockBit 3.0 embarque un système intégré de communication entre le pirate et sa cible, avec des négociations qui parfois sont rendues publiques. Ceci permet de renforcer l’intimidation des victimes pour le paiement des rançons via une posture plus agressive. Ces différents points font aujourd’hui de LockBit le rançongiciel numéro 1 en nombre d’attaques revendiquées, tous secteurs d’activités confondus.

Les origines de LockBit 3.0 ne sont pas clairement définies, mais certains experts en cybercriminalité pensent que ce groupe aurait un lien avec la Russie. Les malwares utilisés par ses membres sont conçus pour ne pas infecter les ordinateurs situés dans les pays russophones. Par ailleurs, le groupe est actif sur des forums de discussions russes en lien avec la cybercriminalité.

Bien qu’ils aient décidé de rester neutres à l’égard du conflit qui oppose l’Ukraine à la Russie, LockBit fait partie des acteurs cybercriminels russophones très actifs sur la période. De ce fait, la création d’une nouvelle version 3.0 du ransomware LockBit durant le conflit peut laisser penser que celui-ci a été envisagé, au moins partiellement, en réaction aux hostilités occidentales face aux actions russes (sanctions économiques, diplomatiques…).

Fiche technique

  • Date création : septembre 2019
  • Évolutions : V1(2019), V2 (2021), V3 (2022)
  • Spécialité : Ransomware
  • Motivation : Financière
  • Secteurs d’attaques privilégiés :  Santé (1) et éducation (2)
  • Caractéristiques : Vente du logiciel comme service (RaaS)

 

SysDream vous accompagne pour la gestion du risque cyber pour votre système informatique. Nous mettons à votre disposition (que vous soyez client ou non) une équipe d’experts spécialisés dans la réponse aux incidents et l’investigation numérique pour contenir un incident de sécurité informatique, y remédier et enquêter sur les sources de l’attaque.

N’ATTENDEZ PAS D’ÊTRE ATTAQUÉS ! Contactez-nous

https://sysdream.com/audit-conseil/ris-reponse-incidents-securite/

Besoin de plus d'informations

Julien D.
Julien D.

Julien D. est analyste de la menace cyber depuis juin 2022, chez Sysdream, la division cybersécurité de Hub One. Comme tant d’autres de ses collègues, pour Julien, la cybersécurité est plus qu’un travail, c’est une véritable passion ! A tel point que Julien décide d’approfondir le sujet en s’intéressant à la psychologie des acteurs malveillants pour comprendre leurs comportements. Formé en intelligence économique, Julien se concentre surtout aujourd’hui sur la protection de l’information des organisations. Pour mieux appréhender ce volet défensif, Julien approfondit ses connaissances en s’intéressant aux sujets politiques, culturels et géoéconomiques, qui lui permettent d’avoir une vision globale des faits de société et de mieux appréhender les potentielles intrusions. Côté technologique, avec Julien, nous ne sommes jamais loin de son métier puisque son attrait va pour le logiciel Maltego, un outil de collecte d’informations qui permet l’exploration de données sur un sujet choisi. On ne se refait pas !

Pour recevoir la documentation Hub One adaptée à vos besoins

Le présent site stocke des cookies et autres traceurs sur votre équipement (ci-après dénommés « cookies »). Ces cookies sont utilisés par Hub One pour collecter des informations sur la manière dont vous interagissez avec le site et établir des statistiques et des volumes de fréquentation et d’utilisation afin d’améliorer votre parcours en tant qu’utilisateur.
Vous pouvez choisir de ne pas autoriser certains types de cookies, à l’exception de ceux permettant la fourniture du présent site web et qui sont strictement nécessaires au fonctionnement de ce dernier. Pour accepter ou refuser l’utilisation des différentes catégories de cookies (à l’exception de la catégorie des cookies strictement nécessaires), rendez-vous dans les Préférences cookies.
Vous pouvez à tout moment revenir sur votre autorisation d’utilisation des cookies (Préférences cookies).
Le refus de l’utilisation de certains cookies peut avoir un impact sur votre utilisation du site.
En savoir plus : Politique cookies
Préférences cookies
Refuser tous les cookies
Accepter tous les cookies