Le ransomware LockBit est l’une des cybermenaces les plus connues aujourd’hui. Il a évolué pour devenir l’un des groupes les plus sophistiqués et les plus dangereux au monde. Grâce à son modèle de Ransomware-as-a-Service (RaaS), LockBit permet à ses affiliés de mener des attaques efficaces, ciblant principalement les grandes entreprises et les institutions.
LockBit est une variante de ransomware détectée pour la première fois en septembre 2019, qui a rapidement gagné en notoriété grâce à sa capacité à chiffrer efficacement les données et à exiger des rançons exorbitantes. Sa troisième version, LockBit 3.0, a apporté des améliorations à l’infrastructure du ransomware, rendant les attaques plus rapides, plus difficiles à détecter et encore plus dévastatrices pour les victimes.
Contrairement à d’autres groupes de ransomware, LockBit se concentre sur les grandes entreprises, exploitant les vulnérabilités des systèmes de sécurité et mettant en œuvre un cryptage des données presque irréversible si la rançon n’est pas payée.
Comment fonctionne le groupe LockBit ?
Le groupe LockBit fonctionne sur la base du modèle « Ransomware-as-a-Service » (RaaS), dans lequel les développeurs fournissent des logiciels malveillants à des filiales, qui sont chargées de mener les attaques. Ces filiales reçoivent un pourcentage important de la rançon, tandis que le reste est remis aux développeurs du ransomware.
Voici quelques-unes des principales stratégies utilisées par les opérateurs :
- Exploitation des vulnérabilités : Les attaquants utilisent des vulnérabilités connues et mal configurées dans les systèmes informatiques, telles que des serveurs non corrigés ou des pare-feu mal gérés.
- L’hameçonnage ciblé : Le groupe utilise des tactiques d’ingénierie sociale et de spear-phishing pour inciter les employés à télécharger des logiciels malveillants ou à fournir des identifiants d’accès.
- Exfiltration de données : Avant de chiffrer les fichiers, le groupe LockBit exfiltre d’importants volumes de données, ce qui lui donne un pouvoir de négociation supplémentaire puisqu’il peut menacer de divulguer des informations confidentielles.
LockBit 3.0 se distingue par son programme de récompense des bogues – une pratique inhabituelle chez les groupes de ransomware – qui offre des récompenses à quiconque trouve des failles dans son propre logiciel, ce qui accroît la robustesse de ses opérations.
Données récentes sur l’impact mondial
Selon le rapport 2024 de Cybersecurity Ventures sur les ransomwares, les ransomwares dans leur ensemble devraient causer des dommages d’une valeur totale d’environ 265 milliards de dollars d’ici à 2031, LockBit étant responsable d’une grande partie des attaques récentes. En 2023, LockBit a été impliqué dans plus de 40 % de tous les incidents de ransomware signalés dans le monde.
L’unité de cyberveille de Chainalysis a indiqué qu’en 2022, LockBit avait accumulé environ 91 millions de dollars en paiements de rançons, la moyenne étant de 1,5 million de dollars par victime. En outre, une étude de Sophos a montré qu’en moyenne, les attaques de LockBit entraînent 21 jours d’indisponibilité pour les entreprises touchées, ce qui provoque d’énormes pertes opérationnelles.
Évolution du ransomware LockBit
Le ransomware LockBit est largement connu dans le monde de la cybersécurité pour son évolution rapide et les différentes versions qui ont introduit des améliorations et des tactiques plus sophistiquées. Depuis sa première apparition en 2019, LockBit a subi une série de mises à jour importantes, chaque nouvelle version rendant le ransomware plus puissant, plus efficace et plus difficile à combattre.
LockBit 1.0 : Le commencement (2019)
La version originale de LockBit, publiée en septembre 2019, a été l’une des premières à utiliser la technique de l' »autopropagation », selon laquelle le ransomware se déplace latéralement au sein du réseau, infectant rapidement d’autres appareils et serveurs connectés. Parmi les caractéristiques notables de LockBit 1.0, on peut citer :
- Auto-propagation via SMB : les rançongiciels exploitent les vulnérabilités du protocole Server Message Block (SMB) pour se déplacer latéralement sur un réseau.
- Chiffrement rapide : depuis sa première version, LockBit s’est distingué par sa capacité à chiffrer rapidement les données, réduisant ainsi la fenêtre de réponse des équipes de sécurité.
- Priorité aux grandes entreprises : la première version de LockBit était destinée aux grandes organisations et exploitait les failles des réseaux d’entreprise.
Cette première version indiquait déjà le sérieux du groupe, avec des attaques réussies contre de grandes entreprises, mais elle n’offrait pas de fonctions plus avancées que celles introduites dans les versions ultérieures.
LockBit 2.0 : raffinement et double menace (2021)
En juin 2021, le groupe a lancé LockBit 2.0, qui a apporté une série d’améliorations et a fait du ransomware l’une des menaces les plus dominantes sur la scène mondiale. Parmi les améliorations significatives de cette version, on peut citer
- Modèle « Ransomware-as-a-Service » (RaaS) : LockBit 2.0 a formalisé son modèle RaaS, permettant aux opérateurs affiliés d’utiliser le ransomware en échange d’un pourcentage sur les rançons. Cela a permis d’élargir la base d’opérateurs et d’augmenter la fréquence des attaques.
- Double extorsion : introduction de la technique de la double extorsion, dans laquelle les attaquants ne se contentent pas de chiffrer les données, mais exfiltrent également des informations confidentielles. La menace de divulguer ces données exerce une pression supplémentaire sur la victime pour qu’elle paie la rançon.
- Vitesse de cryptage optimisée : LockBit 2.0 est devenu l’un des ransomwares les plus rapides, capable de chiffrer des réseaux entiers en quelques minutes, ce qui réduit considérablement le temps de réponse des équipes informatiques.
- Interface de négociation améliorée : la version 2.0 a également amélioré le processus de négociation entre les victimes et les opérateurs de ransomware, avec des sites de paiement dédiés et une communication directe.
Les améliorations apportées à LockBit 2.0 ont rendu cette version particulièrement efficace pour les entreprises qui n’étaient pas préparées à faire face à l’exfiltration de données, car la perte d’informations critiques ou confidentielles peut entraîner des dommages irréparables pour la réputation et les opérations.
LockBit 3.0 (LockBit Black) : La percée technologique (2022)
Lancé au début de l’année 2022, LockBit 3.0, également connu sous le nom de LockBit Black, est la version la plus récente et la plus avancée de ce ransomware. Avec des améliorations significatives, LockBit 3.0 a non seulement poursuivi la double extorsion et les tactiques RaaS, mais a également innové dans plusieurs domaines, comme l’incorporation de programmes de primes aux bugs pour ceux qui trouvent des failles dans le ransomware. Les principales nouveautés de LockBit 3.0 :
- Programme Bug Bounty : pour la première fois dans l’histoire des ransomwares, LockBit 3.0 a introduit un programme Bug Bounty, dans le cadre duquel les pirates offrent des récompenses à toute personne qui trouve des failles dans leur propre logiciel, améliorant ainsi l’efficacité et la sécurité de l’opération.
- Chiffrement sélectif : contrairement aux versions précédentes, LockBit 3.0 permet de chiffrer sélectivement les fichiers critiques, ce qui accélère le processus et donne la priorité aux données les plus précieuses.
- Protection anti-analyse : des techniques d’évasion avancées ont été introduites pour éviter d’être détectées par les solutions de sécurité, ce qui rend l’analyse des ransomwares plus difficile pour les experts en cybersécurité.
- Vitesse accrue : le cryptage et les mouvements latéraux au sein des réseaux sont devenus encore plus rapides et plus efficaces, dans le but de maximiser l’impact avant qu’il ne soit possible de prendre des mesures d’atténuation.
- Personnalisation de la rançon : LockBit 3.0 permet aux opérateurs de personnaliser les demandes de rançon, rendant le processus d’extorsion plus spécifique à chaque victime, ce qui augmente l’efficacité des négociations.
En outre, LockBit 3.0 a renforcé ses mesures d’anonymat, en utilisant une cryptographie sophistiquée pour se protéger contre le traçage par les autorités de sécurité. Ce nouveau niveau de sophistication a consolidé LockBit comme l’un des ransomwares les plus dangereux en circulation.
Comparaison des versions
Caractéristiques | LockBit 1.0 | LockBit 2.0 | LockBit 3.0 (Black) |
Année de sortie | 2019 | 2021 | 2022 |
Modèle RaaS | Non | Oui | Oui |
Cryptographie | Rapide | Plus rapide et plus efficace | Sélectif et encore plus rapide |
Double extorsion | Non | Oui | Oui |
Programme de récompenses pour les bogues | Non | Non | Oui |
Protection contre l’analyse | de base | Apprécié | Avancé |
Mouvement latéral | Via SMB | Via SMB et RDP | Plus efficace et invisible |
Interface de négociation | De base | Apprécié | Interface plus avancée |
Le ransomware LockBit continue d’évoluer à un rythme alarmant, chaque version apportant des améliorations qui rendent les attaques plus rapides, plus difficiles à prévenir et plus dévastatrices. Après avoir commencé avec LockBit 1.0, le groupe est rapidement devenu une force dominante avec LockBit 2.0, adoptant une double extorsion et un modèle RaaS qui a attiré d’innombrables affiliés. Avec LockBit 3.0 (LockBit Black), ils ont redéfini la sophistication des ransomwares, en introduisant le chiffrement sélectif, des programmes de récompense des bogues et des protections renforcées contre la détection.
Pour se protéger contre LockBit et ses variantes, il faut prendre des mesures de cybersécurité solides, telles que des sauvegardes régulières, la segmentation du réseau, la détection des intrusions et la création de plans d’intervention en cas d’incident. Il est essentiel de se tenir au courant des dernières tactiques du groupe LockBit pour limiter les dégâts et minimiser les risques. Si vous avez été touché par une attaque de ransomware Lockbit, vous pouvez compter sur nos solutions pour décrypter les fichiers de ransomware, contactez nos experts dès maintenant.