logo SOS Ransomware
Urgence 24/7
,

Le groupe de ransomware LockBit piraté : Une ironie du sort qui révèle des failles inattendues

Une attaque surprise sur l’un des groupes de cybercriminalité les plus puissants

Dans un retournement saisissant, le groupe de ransomware LockBit, longtemps considéré comme une force redoutable dans le monde de la cybercriminalité, a été victime d’un piratage majeur.

En effet, ce 29 avril 2025, des données présentes sur son interface d’administration affiliée ont été extraites et publiées publiquement – sur ses propres sites web. L’ironie est à la fois cruelle et éloquente : même les acteurs du crime numérique ne sont pas à l’abri de leurs propres méthodes.

Lockbit pwned
Lockbit pwned : mise à disposition des données du panneau affiliés (Lien vers le tweet)

L’incident a ainsi mis en lumière un pan entier de l’écosystème LockBit, jusqu’alors opaque pour les chercheurs en cybersécurité.

Ce n’est pas la première fois que le gang subit des revers : en mai 2024 par exemple, les forces de l’ordre internationales menaient l’opération Cronos , entraînant l’arrestation de plusieurs membres clés, dont Dmitry Yuryevich Khoroshev, présumé opérateur derrière le pseudonyme LockBitSupp.

Mais cette nouvelle fuite, bien plus qu’un simple camouflet, pourrait avoir des conséquences profondes tant sur l’organisation interne du groupe que sur la compréhension des tactiques utilisées par les ransomware-as-a-service (RaaS).

Revelations Lockbit hacking

Une fenêtre inédite sur l’intérieur d’un empire criminel

Des données dévoilant des pratiques opaques

La base SQL exposée contient des informations édifiantes : plus de 75 comptes affiliés, des milliers de conversations avec des victimes, 60 000 adresses Bitcoin, et même des mots de passe stockés en clair (‘Weekendlover69, ‘MovingBricks69420’, and ‘Lockbitproud231’).

Pour les spécialistes en intelligence ouverte, ce trésor représente une opportunité rare d’analyser en détail le fonctionnement interne d’un réseau criminel structuré.

Parmi les éléments les plus frappants : un délai jusqu’à dix jours entre l’exfiltration des données et le chiffrement final. Cela souligne l’importance croissante de la détection des mouvements latéraux et des transferts de données avant qu’une demande de rançon ne soit lancée.

Un modèle RaaS complexe mais vulnérable

LockBit repose sur un modèle de franchise : un noyau central développe les outils, tandis que des affiliés exécutent les attaques.

Sur les 75 comptes recensés, seuls 44 étaient actifs, et encore moins engagés dans des opérations offensives au moment de la fuite.

Sept seulement semblaient mener des campagnes en temps réel. Cette structure hiérarchisée, bien que rentable, montre ses limites lorsque la sécurité du noyau central est atteint.

En outre, les discussions entre négociateurs et victimes ont permis d’observer une tendance inquiétante : les rançons demandées oscillent souvent autour de $20 000, voire moins, avec une préférence marquée pour Monero, souvent proposé avec une réduction de 20 % contre paiement immédiat.

Ce choix reflète une volonté accrue d’anonymat, pour répondre aux efforts croissants des autorités pour tracer les flux cryptographiques.

Une géographie des cibles qui change la donne

L’Asie-Pacifique au cœur des opérations

Contrairement aux idées reçues, ce n’est ni l’Europe ni l’Amérique du Nord qui attirent principalement les affiliés de LockBit, mais bien l’Asie-Pacifique, représentant 35,5 % des cibles visées.

La Chine arrive en tête avec 51 victimes identifiées, suivie de l’Indonésie (49) et de l’Inde (35). Ce focus régional suggère que les menaces sont sous-estimées à l’encontre ces pays, où la cybersécurité reste parfois moins mature ou moins médiatisée.

Certains affiliés, comme PiotrBond ou Umarbishop47, concentrent plus de 75 % de leurs attaques dans cette zone, illustrant une segmentation stratégique.

À l’inverse, la Corée du Sud semble sous-représentée dans les données, sans qu’il soit possible d’en identifier la raison exacte.

Une stratégie de ciblage asymétrique

Les données révèlent également un phénomène intrigant : les affiliés les plus actifs ne s’attaquent pas nécessairement aux victimes les plus lucratives.

Beaucoup ciblent des organisations de taille modeste, situées dans des pays à revenu moyen mondial. Ce changement de stratégie peut s’expliquer par une baisse de disponibilité des talents après les arrestations liées à l’Operation Cronos , ou par une volonté de minimiser les pressions géopolitiques en évitant les grandes économies.

Démantèlement de Lockbit
Écran de saisie du site du groupe Lockbit lors de l’opération Cronos

Ce que cela révèle sur la résilience des groupes de ransomware

Un système fragilisé mais pas éteint

Malgré les coups portés par les forces de l’ordre et lors de cette fuite embarrassante, LockBit tente de maintenir sa présence.

En décembre 2024, le groupe avait teasing son retour imminent pour février 2025. Quelques mois plus tard, si certains affirment voir le déclin du gang, d’autres restent vigilants : l’écosystème du ransomware est hautement adaptable, et de nouveaux groupes comme SuperBlack semblent déjà prêts à prendre le relais.

Des enseignements pour la défense

Les experts en cybersécurité tirent plusieurs leçons opérationnelles de cette fuite :

  • Prioriser le patching : Des dizaines de CVEs critiques ont été exploitées par LockBit ces dernières années, notamment CVE-2023-4966 (Citrix), CVE-2022-22965 (VMware), CVE-2021-44228 (Log4j). Leur correction rapide est essentielle.
  • Protéger les systèmes oubliés : Les solutions de sauvegarde (comme Veeam), les hyperviseurs VMware ESXi, les NAS et les outils administratifs (FileZilla, WinSCP) figurent désormais parmi les cibles favorites des cybercriminels.
  • Surveiller les fuites de données : La période entre l’exfiltration et le chiffrement offre une fenêtre critique pour intervenir avant que le dommage ne soit irréversible.

Conclusion : Un signal d’alerte pour tous les acteurs de la cybersécurité

La compromission de LockBit illustre à quel point même les structures criminelles les mieux organisées peuvent être touchées par leurs propres lacunes en matière de cybersécurité. Elle rappelle aussi l’importance de la collaboration internationale, des enquêtes forensiques et de la recherche offensive pour contrer la menace persistante des ransomware.

Pour les entreprises, ce cas d’école doit servir de catalyseur : il est impératif de renforcer les postures de défense, d’anticiper les points d’entrée exploités par les cybercriminels, et de comprendre que la menace ne dort jamais – même quand elle semble vaciller.

En cas d’incident, notre service de récupération de données ransomware est à votre écoute 24/7.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright © 2025 Recoveo | Réalisation par Tell It