LockBit est un logiciel malveillant actif en tant que service de rançon ( RaaS, Ransomware-as-a-Service ), qui est apparu pour la première fois en septembre 2019. En raison de l'ajout de l'extension “.abcd” lors du chiffrement des fichiers dans la version initiale, il a été surnommé “ransomware ABCD”. Ce groupe est connu pour sa technologie avancée, son haut degré d'automatisation et son efficacité en matière de rançon. Il a lancé de nombreuses attaques à l'échelle mondiale contre des entreprises, des gouvernements, des établissements d'enseignement et des institutions médicales, et a été classé par plusieurs agences de sécurité nationale comme une menace persistante avancée ( APT ). Nous avons divulgué des informations sur ce groupe l'année dernière.
La technologie de LockBit continue d'évoluer, développant plusieurs versions :
LockBit 1.0 (2019) : caractérisé par le suffixe de cryptage ".abcd", prend en charge la plateforme Windows, utilise l'algorithme RSA + AES pour le cryptage, vitesse d'exécution rapide ;
LockBit 2.0 (2021) : introduit la capacité de propagation automatique, améliorant l'efficacité des rançongiciels ;
LockBit 3.0 / LockBit Black (2022) : Conception modulaire, forte résistance à l’analyse et le premier programme de bug bounty pour récompenser les chercheurs en sécurité externes pour avoir testé les ransomwares ;
LockBit Green (version supposée de 2023) : soupçonné d'intégrer une partie du code du groupe de rançon Conti, qui a été dissous.
En tant que représentant typique du modèle RaaS, LockBit attire des "Affiliés(" en fournissant un kit d'outils de ransomware par le biais de développeurs clés, qui sont responsables des attaques, de l'infiltration et du déploiement, et incite la collaboration par un partage des rançons, les attaquants pouvant généralement obtenir 70 % des revenus. De plus, sa stratégie de "double rançon" est également très coercitive : d'une part, les fichiers sont chiffrés, d'autre part, des données sont volées et la menace de publication est exercée. Si la victime refuse de payer la rançon, les données seront publiées sur son site de fuite exclusif.
Sur le plan technique, LockBit prend en charge les systèmes Windows et Linux, utilisant une technologie de cryptage multithread et l'ensemble d'instructions AES-NI pour réaliser un cryptage haute performance, avec la capacité de déplacement latéral dans le réseau interne (comme l'utilisation de PSExec, le brute forcing RDP, etc.), et avant le cryptage, il fermera activement les bases de données, supprimera les sauvegardes et d'autres services critiques.
Les attaques de LockBit sont généralement très systématisées et présentent des caractéristiques typiques d'APT. La chaîne d'attaque se déroule comme suit :
Accès initial (e-mails de phishing, exploitation de vulnérabilités, mots de passe RDP faibles)
Publication d'informations sur des sites de fuite (si non payé)
LockBit a suscité de nombreux événements sensationnels pendant sa période d'activité :
Attaque de l'administration fiscale italienne en 2022, affectant les données de millions de contribuables ;
A prétendu avoir infiltré l'hôpital SickKids au Canada, puis s'est excusé et a fourni un décryptage ;
Plusieurs fabricants (comme les entreprises de défense et de dispositifs médicaux) ont été cryptés par LockBit ;
Au deuxième trimestre de 2022, plus de 40 % des attaques par ransomware dans le monde ;
A eu un impact cumulatif sur plus de 1000 entreprises, dépassant de loin des groupes établis comme Conti, REvil, etc.
Le taux de réussite des rançons est extrêmement élevé, en 2022, plus de la moitié des 100 millions de dollars de rançon demandés ont été obtenus avec succès.
Cependant, même aussi puissant que LockBit, il n'est pas infaillible. Le 19 février 2024, le site LockBit a été fermé lors d'une opération conjointe des agences de maintien de l'ordre, y compris le National Crime Agency du Royaume-Uni, le Federal Bureau of Investigation des États-Unis, Europol et Interpol. Plusieurs membres de LockBit ont été arrêtés ou sont sous le coup d'un mandat d'arrêt, mais l'équipe de développement centrale n'a pas été complètement démantelée, et certains échantillons continuent de circuler sur le dark web, utilisés par des groupes dissidents.
) Événement inattendu : le site LockBit a été piraté
Aujourd'hui, SlowMist ### a reçu des informations : le site onion de LockBit a été piraté, les attaquants ont non seulement pris le contrôle de son tableau de bord, mais ont également publié un fichier compressé contenant la base de données, entraînant la fuite de la base de données de LockBit, y compris des adresses Bitcoin, des clés privées, des historiques de chat et d'autres informations sensibles sur ses sociétés associées.
Plus dramatique encore, les hackers ont laissé une phrase significative sur le site altéré : « Ne commettez pas de crime, le crime est mauvais, venant de Prague. »
Peu de temps après, les données pertinentes ont été téléchargées sur des plateformes telles que GitHub et se sont rapidement répandues.
LockBit a ensuite répondu dans son canal en russe, en substance comme suit :
Rey : LockBit a été piraté ? Y a-t-il des progrès ?
LockBitSupp : seule la console de contrôle légère avec code d'autorisation a été compromise, aucun déchiffreur n'a été volé et aucune donnée d'entreprise n'a été affectée.
Rey : Oui, mais cela signifie que des informations telles que l'adresse Bitcoin, le contenu de la conversation et les clés ont été divulguées... Cela affectera également la réputation, n'est-ce pas ?
Rey : Locker Builder (constructeur de rançongiciel) ou le code source a-t-il été volé ?
Rey : Allez-vous redémarrer le travail ? Si oui, combien de temps cela prendra-t-il ?
LockBitSupp : seules les adresses Bitcoin et le contenu des conversations ont été volés, aucun décryptage n'a été volé. Oui, cela affecte effectivement la réputation, mais la remise en ligne après réparation affectera également la réputation. Le code source n'a pas été volé. Nous avons déjà commencé à travailler sur la récupération.
Rey : D'accord, bonne chance à vous. Merci pour ta réponse.
( analyse de fuite
SlowMist) a téléchargé en premier les fichiers divulgués (uniquement à des fins de recherche interne, les sauvegardes ont été supprimées en temps utile). Nous avons effectué une analyse préliminaire de la structure des répertoires, des fichiers de code et du contenu de la base de données, essayant de reconstruire l'architecture de la plateforme de fonctionnement interne de LockBit et ses composants fonctionnels.
D'après la structure du répertoire, cela ressemble à une plateforme de gestion des victimes de LockBit écrite en PHP léger.
Analyse de la structure du répertoire :
api/, ajax/, services/, models/, workers/ montrent que le projet a une certaine modularité, mais ne respecte pas la structure conventionnelle des frameworks comme Laravel (par exemple app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php indiquent que la gestion de la base de données et de l'initialisation des fonctions est manuelle ;
vendor/ + composer.json utilise Composer, ce qui indique qu'il pourrait y avoir des bibliothèques tierces, mais l'ensemble du cadre pourrait être écrit par soi-même ;
les noms de dossiers tels que victim/ et notifications-host/ semblent assez suspects (surtout dans la recherche en sécurité).
Nous supposons donc que ce hacker venant de "Prague" devrait utiliser un 0 day ou un 1 day PHP pour s'attaquer au site Web et à la console.
Le flux des fonds de blanchiment d'argent est relativement clair, se dirigeant finalement vers les plateformes de trading. En raison de la limite de longueur, MistTrack effectuera plus d'analyses sur les adresses de cryptomonnaies par la suite, si vous êtes intéressé, vous pouvez suivre X : @MistTrack_io.
Actuellement, LockBit a également publié une déclaration officielle concernant cet événement. La traduction approximative est la suivante :
"Le 7 mai 2025, notre panneau de contrôle léger avec fonction d'enregistrement automatique a été piraté, permettant à quiconque de contourner l'autorisation pour accéder directement à ce panneau. La base de données a été volée, mais aucune donnée sensible de déchiffreur ou de la société victime n'a été impliquée. Nous enquêtons actuellement sur la méthode d'intrusion spécifique et avons lancé le processus de reconstruction. Le panneau de contrôle principal et le blog fonctionnent toujours normalement."
« L’agresseur aurait été un homme nommé 'Xoxo' de Prague. Si vous pouvez fournir des informations exactes sur son identité, tant que l’information est fiable, je suis prêt à payer pour cela. ”
La réponse de LockBit est plutôt ironique. Auparavant, le Département d'État américain avait publié une annonce de récompense pour obtenir l'identité et la localisation des membres clés ou des collaborateurs essentiels du groupe LockBit, avec une récompense pouvant atteindre 10 millions de dollars ; en même temps, pour encourager la dénonciation de l'attaque de ses affiliés )Affiliates(, une prime supplémentaire de 5 millions de dollars est offerte.
Aujourd'hui, LockBit a été piraté et cherche des indices sur les attaquants en offrant une récompense dans son canal - comme si le "mécanisme de chasseur de primes" se retournait contre lui, ce qui est à la fois risible et tragique, révélant davantage les failles et le chaos de son système de sécurité interne.
) résumé
LockBit est actif depuis 2019 et est l’un des gangs de ransomware les plus dangereux au monde, avec des estimations de rançon cumulées (y compris des données non divulguées) d’au moins 150 millions de dollars. Son modèle RaaS (Ransom-as-a-Service) attire un grand nombre de franchisés pour participer à l’attaque. Bien que le gang ait été touché par l’application de l'« Opération Cronos » au début de 2024, il reste actif. Cet incident marque un défi majeur pour la sécurité des systèmes internes de LockBit, ce qui peut affecter sa crédibilité, la confiance de ses affiliés et sa stabilité opérationnelle. Dans le même temps, il montre également la tendance des « attaques inversées » contre les organisations cybercriminelles dans le cyberespace.
L'équipe de sécurité de Slow Mist conseille à toutes les parties :
Surveillance continue des informations : suivi étroit des dynamiques de reconstruction de LockBit et des versions potentielles de variants ;
Suivre les tendances du dark web : surveiller en temps réel les forums, sites et sources d'informations pertinents pour prévenir les fuites secondaires et l'abus de données ;
Renforcer la défense contre les menaces RaaS : clarifier ses surfaces d'exposition et renforcer les mécanismes d'identification et de blocage des chaînes d'outils RaaS ;
Mécanisme de réponse de l'organisation amélioré : Si des liens directs ou indirects avec son propre organisme sont découverts, il est conseillé d'en informer immédiatement l'autorité compétente et de déclencher le plan d'urgence ;
Suivi des fonds et action contre la fraude : en cas de détection de chemins de paiement suspects entrant sur sa propre plateforme, il convient de renforcer la prévention du blanchiment d'argent en combinant avec le système de surveillance blockchain.
Cet événement nous rappelle une fois de plus que même les groupes de hackers aux compétences techniques impressionnantes ne peuvent pas échapper complètement aux cyberattaques. C'est aussi l'une des raisons pour lesquelles les professionnels de la sécurité continuent de se battre.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Black on black: Analyse de l'incident de piratage du principal groupe de ransomware mondial LockBit
Récapitulatif : Qui est LockBit ?
LockBit est un logiciel malveillant actif en tant que service de rançon ( RaaS, Ransomware-as-a-Service ), qui est apparu pour la première fois en septembre 2019. En raison de l'ajout de l'extension “.abcd” lors du chiffrement des fichiers dans la version initiale, il a été surnommé “ransomware ABCD”. Ce groupe est connu pour sa technologie avancée, son haut degré d'automatisation et son efficacité en matière de rançon. Il a lancé de nombreuses attaques à l'échelle mondiale contre des entreprises, des gouvernements, des établissements d'enseignement et des institutions médicales, et a été classé par plusieurs agences de sécurité nationale comme une menace persistante avancée ( APT ). Nous avons divulgué des informations sur ce groupe l'année dernière.
La technologie de LockBit continue d'évoluer, développant plusieurs versions :
En tant que représentant typique du modèle RaaS, LockBit attire des "Affiliés(" en fournissant un kit d'outils de ransomware par le biais de développeurs clés, qui sont responsables des attaques, de l'infiltration et du déploiement, et incite la collaboration par un partage des rançons, les attaquants pouvant généralement obtenir 70 % des revenus. De plus, sa stratégie de "double rançon" est également très coercitive : d'une part, les fichiers sont chiffrés, d'autre part, des données sont volées et la menace de publication est exercée. Si la victime refuse de payer la rançon, les données seront publiées sur son site de fuite exclusif.
Sur le plan technique, LockBit prend en charge les systèmes Windows et Linux, utilisant une technologie de cryptage multithread et l'ensemble d'instructions AES-NI pour réaliser un cryptage haute performance, avec la capacité de déplacement latéral dans le réseau interne (comme l'utilisation de PSExec, le brute forcing RDP, etc.), et avant le cryptage, il fermera activement les bases de données, supprimera les sauvegardes et d'autres services critiques.
Les attaques de LockBit sont généralement très systématisées et présentent des caractéristiques typiques d'APT. La chaîne d'attaque se déroule comme suit :
LockBit a suscité de nombreux événements sensationnels pendant sa période d'activité :
Cependant, même aussi puissant que LockBit, il n'est pas infaillible. Le 19 février 2024, le site LockBit a été fermé lors d'une opération conjointe des agences de maintien de l'ordre, y compris le National Crime Agency du Royaume-Uni, le Federal Bureau of Investigation des États-Unis, Europol et Interpol. Plusieurs membres de LockBit ont été arrêtés ou sont sous le coup d'un mandat d'arrêt, mais l'équipe de développement centrale n'a pas été complètement démantelée, et certains échantillons continuent de circuler sur le dark web, utilisés par des groupes dissidents.
) Événement inattendu : le site LockBit a été piraté
Aujourd'hui, SlowMist ### a reçu des informations : le site onion de LockBit a été piraté, les attaquants ont non seulement pris le contrôle de son tableau de bord, mais ont également publié un fichier compressé contenant la base de données, entraînant la fuite de la base de données de LockBit, y compris des adresses Bitcoin, des clés privées, des historiques de chat et d'autres informations sensibles sur ses sociétés associées.
Plus dramatique encore, les hackers ont laissé une phrase significative sur le site altéré : « Ne commettez pas de crime, le crime est mauvais, venant de Prague. »
Peu de temps après, les données pertinentes ont été téléchargées sur des plateformes telles que GitHub et se sont rapidement répandues.
LockBit a ensuite répondu dans son canal en russe, en substance comme suit :
( analyse de fuite
SlowMist) a téléchargé en premier les fichiers divulgués (uniquement à des fins de recherche interne, les sauvegardes ont été supprimées en temps utile). Nous avons effectué une analyse préliminaire de la structure des répertoires, des fichiers de code et du contenu de la base de données, essayant de reconstruire l'architecture de la plateforme de fonctionnement interne de LockBit et ses composants fonctionnels.
![]###https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(
D'après la structure du répertoire, cela ressemble à une plateforme de gestion des victimes de LockBit écrite en PHP léger.
Analyse de la structure du répertoire :
Nous supposons donc que ce hacker venant de "Prague" devrait utiliser un 0 day ou un 1 day PHP pour s'attaquer au site Web et à la console.
Le tableau de bord est comme suit :
![])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(
Informations de communication de chat :
![])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(
Regardons les informations entourées par le cadre rouge : le PDG victime de co ... coinbase ? Payer la rançon ?
En même temps, la base de données divulguée concerne environ 60 000 adresses BTC :
![])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(
Il y a 75 identifiants de comptes utilisateurs dans la base de données fuitée :
![])https://img.gateio.im/social/moments-9ad7b2a165b0b44b488a8ce629c92ee5(
![])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(
Une conversation de négociation intéressante :
![])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(
Trouver aléatoirement des commandes dont le paiement a réussi :
![])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(
Adresse de commande :
![])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(
Et utilisez MistTrack pour suivre l'adresse de réception de Bitcoin :
![])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(
Le flux des fonds de blanchiment d'argent est relativement clair, se dirigeant finalement vers les plateformes de trading. En raison de la limite de longueur, MistTrack effectuera plus d'analyses sur les adresses de cryptomonnaies par la suite, si vous êtes intéressé, vous pouvez suivre X : @MistTrack_io.
Actuellement, LockBit a également publié une déclaration officielle concernant cet événement. La traduction approximative est la suivante :
![])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(
La réponse de LockBit est plutôt ironique. Auparavant, le Département d'État américain avait publié une annonce de récompense pour obtenir l'identité et la localisation des membres clés ou des collaborateurs essentiels du groupe LockBit, avec une récompense pouvant atteindre 10 millions de dollars ; en même temps, pour encourager la dénonciation de l'attaque de ses affiliés )Affiliates(, une prime supplémentaire de 5 millions de dollars est offerte.
Aujourd'hui, LockBit a été piraté et cherche des indices sur les attaquants en offrant une récompense dans son canal - comme si le "mécanisme de chasseur de primes" se retournait contre lui, ce qui est à la fois risible et tragique, révélant davantage les failles et le chaos de son système de sécurité interne.
) résumé
LockBit est actif depuis 2019 et est l’un des gangs de ransomware les plus dangereux au monde, avec des estimations de rançon cumulées (y compris des données non divulguées) d’au moins 150 millions de dollars. Son modèle RaaS (Ransom-as-a-Service) attire un grand nombre de franchisés pour participer à l’attaque. Bien que le gang ait été touché par l’application de l'« Opération Cronos » au début de 2024, il reste actif. Cet incident marque un défi majeur pour la sécurité des systèmes internes de LockBit, ce qui peut affecter sa crédibilité, la confiance de ses affiliés et sa stabilité opérationnelle. Dans le même temps, il montre également la tendance des « attaques inversées » contre les organisations cybercriminelles dans le cyberespace.
L'équipe de sécurité de Slow Mist conseille à toutes les parties :
Cet événement nous rappelle une fois de plus que même les groupes de hackers aux compétences techniques impressionnantes ne peuvent pas échapper complètement aux cyberattaques. C'est aussi l'une des raisons pour lesquelles les professionnels de la sécurité continuent de se battre.