LockBit revient en force dans une saison 2 déplaisante

Posted On 27 Juil 2021

Le pirate caché derrière Lockbit se faisait très discret depuis plusieurs semaines. Il revient en force avec des dizaines de victimes en quelques jours dont la compagnie Facturation.net. J’ai pu rentrer en contact avec Lockbit pour lui poser des tonnes de questions.

Il y a quelques jours je vous parlais du retour de Lockbit, un ransomware en location qui pour indiquer son retour sur le devant des affaires, avaient affiché la liste de leurs « concurrents » et la force de leur outil malveillant. Du marketing de la malveillance emprunté, le marketing, aux éditeurs de solutions cyber qui comparent la vitesse de leurs logiciels à celui de leurs homologues. Lockbit 2 expliquait alors être le plus puissant et le plus rapide. 7 heures, par exemple, pour chiffrer 10TB de données. L’ancienne version de Lockbit mettait 3 heures de plus quand ReVIL mettait 3 jours ou encore presque 24 heures pour Avaddon. Petite piste dans ce jeu de dupe. Alors que Lockbit 2 affiche 33 « concurrents« , morts ou encore en action comme Pysa, Avos et compagnie, pas une trace de MAZE, le papy des ransomwares.

A noter que cette évolution des cyberattaques est due aussi à un recrutement lancé par le pirate, il y a quelques jours « Le programme d’affiliation LockBit 2.0 relance temporairement l’accueil des partenaires. » indique-t-il. Bilan, plus de partenaires, plus de victimes !

Je ne suis pas riche, les riches finissent en prison

Bref, Lockbit 2 a bien l’intention de prendre les parts de marché de CONTI (le numéro UN des ransomwares en juillet 2021) et l’affiche fièrement avec plusieurs dizaines de victimes en quelques jours dont le québécois Facturation.net, société spécialisée, comme son nom l’indique, dans le paiement de prestations en ligne (elle traite d’informations hautement sensibles comme les numéros d’assurance maladie, etc).

La société a d’ailleurs, à première vue, payé une rançon. La menace de Lockbit de diffuser ce qui a été volé a disparu du darkweb quelques heures aprés son affichage, le 13 juillet 2021.

Parmi les quelques autres victimes : l’industriel belge CometGroup ; des cabinets d’avocats et comptables (sic!) ; ou encore la compagnie de transport public de la ville de Nottingham.

LockBit 2 est en action depuis septembre 2019. Il est conçu dans les langages d’origine C et ASM sans aucune dépendance. « La seule chose à faire est d’obtenir l’accès au serveur central, tandis que LockBit 2.0 fera tout le reste. Le lancement est réalisé sur tous les appareils du réseau de domaine en cas de droits d’administrateur sur le contrôleur de domaine. » annonce le gestionnaire de cette arme numérique.

Ce malware est capable de se lancer même dans des ordinateurs éteints via Wake-on-Lan et il s’invite dans les imprimantes pour imprimer la demande de rançon.

I am very kind

J’ai pu contacter Lockbit et lui poser quelques questions dont en voici quelques extraits. L’intégralité de cette rencontre sera présentée mercredi soir, dans la cyber émission « spéciale été ».

Les pirates ont été contactés via la messagerie sécurisée uTox.

ZATAZ – Lockbit 2 est de retour en force, pourquoi avoir gardé le même nom ?
Lockbit – Tout simplement la réputation. LockBit est le meilleur des meilleurs. On est le meilleur au monde

ZATAZ – Avez-vous beaucoup de clients depuis votre retour ?
Lockbit – Oui. Le nombre reste top secret.

ZATAZ – Beaucoup de comptables, d’avocats ou de sociétés de facturation. Pourquoi pensez-vous qu’ils ne font pas attention ?
Lockbit – Parce qu’ils n’accordent pas d’importance à la réputation.

ZATAZ – Vous ne ciblez pas le monde de la santé, avez-vous déjà alerté les hôpitaux du danger qu’ils peuvent encourir ?
Lockbit – Non. Pour cela il y a les white hats.

ZATAZ – Vous affichez depuis quelques jours beaucoup de victime. Beaucoup disparaissent comme facturation.net, cela veut-il dire qu’ils ont payé ?
Lockbit – Oui. Nous ne supprimons que ceux qui payent.

ZATAZ – Vous n’avez pas peur des autorités comme dans le cas de Cl0p ou encore Avaddon ?
Lockbit – Nous n’avons peur de rien, nous agissons pour l’honneur et le courage !

ZATAZ – Vous gagnez beaucoup d’argent ?
Lockbit – Je donne tout l’argent, je ne suis pas milliardaire.
Je suis une personne modeste et pauvre Si j’étais milliardaire, la police me retrouverait rapidement.

ZATAZ – Des cibles françaises et canadiennes dans vos attaques ?
Lockbit – Oui.

ZATAZ – Vous tenez des propos très proches de ceux que me tenait MAZE, c’est étonnant !
Lockbit – Qui est ce Maze ?

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.