Lockbit

Les origines de LockBit remontent à septembre 2019, lorsque la première activité connue du ransomware "ABCD" - largement considéré comme le prédécesseur de LockBit - a été observée. En janvier 2020, LockBit a commencé à apparaître sous son nom actuel sur des forums de cybercriminalité en langue russe. Depuis, il est rapidement devenu l'une des familles de ransomware les plus en vue dans le paysage cybercriminel, adoptant un modèle de Ransomware-as-a-Service (RaaS) qui comprend un site de fuite dédié (DLS) et un portail de négociation de la rançon. Les affiliés s'inscrivent pour utiliser les créateurs de ransomware de LockBit, gèrent les nouvelles victimes via le DLS et peuvent également utiliser "StealBit", un outil de vol d'informations intégré dans les versions ultérieures de LockBit.

Une étape importante a été franchie en juin 2021 avec le lancement de LockBit 2.0 (souvent appelé LockBit Red). Alors que la popularité et l'impact de LockBit augmentaient déjà, cette version a considérablement accru la visibilité du groupe. En octobre 2021, la version 1.0 de LockBit Linux-ESXi Locker est apparue, élargissant les capacités de ciblage de LockBit aux systèmes Linux et VMware ESXi. Les opérateurs de ransomwares ont continué à faire évoluer leur produit en mars 2022 avec l'apparition de LockBit 3.0, également appelé LockBit Black - unenouvelle variante partageant des similitudes de code avec les ransomwares BlackMatter et Alphv (BlackCat). Bien que sa première apparition ait été signalée en mars 2022, nombreux sont ceux qui considèrent juin 2022 comme une date de lancement significative, lorsque LockBit 3.0 a été largement adopté. LockBit Red (le LockBit 2.0 rebaptisé) est resté le constructeur par défaut pour la plupart des affiliés, tandis que LockBit Black était réservé aux affiliés qui avaient exigé plus de 2,5 millions de dollars de rançon. Cette version a également introduit des fonctionnalités avancées, telles que la possibilité de tuer des processus spécifiques ou de définir des listes d'autorisation de fichiers et de périphériques, ainsi qu'un programme de chasse aux bogues offrant des récompenses pouvant aller jusqu'à 10 millions de dollars.

En septembre 2022, une fuite du constructeur de LockBit 3.0 a permis à des affiliés n'appartenant pas à LockBit de générer des charges utiles LockBit, ce qui a accéléré sa propagation. L'itération suivante du ransomware, LockBit Green, a été dévoilée en janvier 2023 et aurait intégré une fuite du code source de la version 3 de Conti. Contrairement à LockBit Black, LockBit Green n'exigeait aucune preuve de demande de rançon importante, ce qui en faisait une offre plus inclusive pour un plus grand nombre d'opérateurs cybercriminels. Quatre mois plus tard, en avril 2023, une nouvelle variante de LockBit macOS a fait surface dans les dépôts de malware à code source ouvert, reproduisant largement les fonctionnalités de la version Linux/ESXi de LockBit et soulignant la volonté constante du groupe d'infecter le plus grand nombre de plateformes possible.

La pression exercée par les forces de l'ordre sur LockBit s'est intensifiée en février 2024 lorsque l'"opération Cronos" - un effort multinational coordonné - a abouti à la saisie temporaire de son DLS et de son portail affilié. Bien que les services de LockBit aient été rétablis cinq jours plus tard, d'autres mesures prises en mai 2024 ont conduit à des mises en examen et à des sanctions visant plusieurs membres clés du groupe, dont un ressortissant russe identifié comme l'un des principaux développeurs et administrateurs. En décembre 2024, LockBit a contré ces revers en publiant la version 4.0 de LockBit 4.0qui a notamment supprimé la possibilité de générer des charges utiles LockBit Red. Malgré les perturbations continues, LockBit a maintenu sa position en tant que force redoutable de ransomware en mettant régulièrement à jour ses offres et en continuant à attirer des affiliés par le biais de son cadre RaaS.

Sources : CISA & Crowdstrike

‍