Photo: Maksim Shmeljov/Shutterstock
LockBit est l’un des gangs de ransomware les plus redoutés au monde. Aujourd’hui, il goûte à sa propre médecine avec une cyberattaque. Pour une fois, les rôles sont inversés : les cybercriminels ont été piratés par d’autres pirates.
Les criminels ont affaire à un ransomware. Il s’agit d’une forme de logiciel malveillant par lequel les attaquants rendent les fichiers d’une entreprise ou d’une organisation inaccessibles. Ceux qui veulent y accéder à nouveau doivent payer une rançon, souvent sous la forme de cryptomonnaies telles que le bitcoin ou le monero. Par conséquent, l’argent versé est souvent difficile à retracer.
Après le paiement, les pirates, si tout se passe bien, renvoient la clé de décryptage permettant d’accéder aux fichiers.
Un message surprenant
Obtenir l’accès au darkweb est délicat, mais ceux qui y sont parvenus ont soudain vu un message surprenant sur le site de LockBit :
From encrypting others to encrypting their pride
LockBit got locked hard pic.twitter.com/QQpIaXyFpF— H4x0r.DZ (@h4x0r_dz) May 8, 2025
Par ces mots, les membres du groupe de ransomware ont été accueillis dans leur propre panneau d’administration. Sous le message figurait un lien vers un fichier zip contenant une grande quantité de données divulguées.
Selon un message publié par le chercheur en cybersécurité ReyXBF sur X (anciennement Twitter), LockBit est « pwnd ». Il s’agit d’un mot branché qui signifie « piraté ». Et il ne s’agit pas vraiment d’une attaque mineure, puisque la totalité de la base de données MySQL de LockBit a été capturée. Toutes les données ont ensuite été mises en ligne.
Ces données comprennent quelque 60 000 adresses de portefeuilles Bitcoin liées à l’infrastructure de LockBit. Des conversations internes avec des victimes ainsi qu’une liste de cibles potentielles sont également apparues dans la rue.
Comment les pirates ont-ils opéré ?
Les pirates ont réussi à infiltrer le site web du groupe sur le darkweb. Cela leur a permis de partager publiquement un dump de la base de données MySQL (contenu de la base de données) sur l’internet.
Ce fichier contient des informations relatives aux cryptomonnaies que l’analyse de la blockchain peut utiliser pour suivre les flux financiers illicites du groupe.
Cette attaque est un coup dur pour LockBit. La fuite de la base de données permet aux analystes de la blockchain d’analyser les adresses. Ils peuvent également retracer les flux financiers sur la base de ces informations. Il est ainsi beaucoup plus facile pour les organismes d’enquête de relier les rançons payées à des portefeuilles et des transactions spécifiques.
Le ou les auteurs de cette attaque sont encore inconnus, mais le message de Prague suggère qu’il y a des motifs idéalistes derrière cette attaque. Quelqu’un voulait donner une leçon à LockBit et ce message est passé haut et fort
Qu’est-ce que LockBit ?
LockBit est un gang professionnel de ransomware qui affecte les entreprises et les agences gouvernementales du monde entier depuis des années. Leur tactique consiste à crypter les systèmes informatiques. Les criminels exigent ensuite une rançon de plusieurs millions d’euros. Les paiements sont presque toujours effectués au moyen de cryptomonnaies telles que le bitcoin ou le monero. Ces transactions sont rapides comme l’éclair et difficiles à tracer.
En février 2024, 10 pays ont pris des mesures contre LockBit. Le groupe est accusé d’avoir causé des milliards d’euros de dommages et d’avoir endommagé des infrastructures vitales telles que des hôpitaux et des sociétés d’énergie.
Réponse laconique de l’employé
Sur X, ReyXBF a publié des captures d’écran d’une conversation avec un employé de LockBit. Le pirate s’est montré remarquablement laconique au sujet de la violation de données.
« Aucune clé privée n’a été divulguée, il n’y a donc pas lieu de s’inquiéter ».
Néanmoins, cette attaque est une défaite rare et douloureuse pour un groupe qui tire normalement ses propres ficelles. Il est possible que cette attaque touche également d’autres criminels. LockBit pourrait avoir des liens avec le ransomware Everest. Il s’agit d’un autre acteur du secteur de la cybercriminalité.
En divulguant les adresses, les enquêteurs pourraient être en mesure d’établir des liens dans ce domaine également et d’exposer davantage de réseaux. Il sera alors plus facile de relier les paiements de rançons à des portefeuilles connus.
Suivez nos dernières actualités sur les décisions des gouvernements et les régulations pour ne rien manquer des évolutions futures.