LockBit est apparu fin 2019, s’appelant d’abord “ABCD ransomware”. Depuis, il s’est développé rapidement. Le groupe est une opération de “ransomware-as-a-service”, ce qui signifie qu’une équipe centrale crée son logiciel malveillant et gère son site Web tout en attribuant son code aux “affiliés” qui lancent des attaques.
En règle générale, lorsque des groupes de rançongiciels en tant que service attaquent avec succès une entreprise et sont payés, ils partagent une partie des bénéfices avec les affiliés. Dans le cas de LockBit, Jérôme Segura, directeur principal du renseignement sur les menaces chez Malwarebytes, affirme que le modèle d’affiliation est renversé. Les affiliés perçoivent directement le paiement de leurs victimes, puis paient des frais à l’équipe principale de LockBit. La structure fonctionne apparemment bien et est fiable pour LockBit. “Le modèle d’affiliation était vraiment bien affiné”, déclare Segura.
Bien que les chercheurs aient vu à plusieurs reprises des cybercriminels de toutes sortes professionnaliser et rationaliser leurs opérations au cours de la dernière décennie, de nombreux groupes de rançongiciels importants et prolifiques adoptent des personnalités publiques flamboyantes et imprévisibles pour gagner en notoriété et intimider les victimes. En revanche, LockBit est connu pour être relativement cohérent, ciblé et organisé.
“De tous les groupes, je pense qu’ils ont probablement été les plus professionnels, et c’est en partie la raison de leur longévité”, déclare Brett Callow, analyste des menaces chez Emsisoft. « Mais le fait qu’ils publient un grand nombre de victimes sur leur site ne signifie pas nécessairement qu’ils sont le groupe de rançongiciels le plus prolifique de tous, comme certains le prétendent. Ils sont probablement assez heureux d’être décrits de cette façon, cependant. C’est juste bon pour le recrutement de nouveaux affiliés.
Le groupe n’est certainement pas tout à la mode, cependant. LockBit semble investir dans des innovations techniques et logistiques dans le but de maximiser les profits. Peter Mackenzie, directeur de la réponse aux incidents de la société de sécurité Sophos, explique, par exemple, que le groupe a expérimenté de nouvelles méthodes pour faire pression sur ses victimes afin qu’elles paient des rançons.
«Ils ont différentes façons de payer», dit Mackenzie. “Vous pouvez payer pour que vos données soient supprimées, payer pour qu’elles soient publiées plus tôt, payer pour prolonger votre délai”, déclare Mackenzie, ajoutant que LockBit a ouvert ses options de paiement à n’importe qui. Cela pourrait, du moins en théorie, amener une entreprise concurrente à acheter les données d’une victime de ransomware. « Du point de vue de la victime, c’est une pression supplémentaire sur elle, ce qui aide à faire payer les gens », dit Mackenzie.
Depuis le lancement de LockBit, ses créateurs ont passé beaucoup de temps et d’efforts à développer son logiciel malveillant. Le groupe a publié deux grandes mises à jour du code : LockBit 2.0, publié à la mi-2021, et LockBit 3.0, publié en juin 2022. Les deux versions sont également connues sous le nom de LockBit Red et LockBit Black, respectivement. Les chercheurs affirment que l’évolution technique s’est accompagnée de changements dans la façon dont LockBit fonctionne avec les affiliés. Avant la sortie de LockBit Black, le groupe travaillait avec un groupe exclusif de 25 à 50 affiliés au maximum. Depuis la version 3.0, cependant, le gang s’est considérablement ouvert, ce qui rend plus difficile de garder un œil sur le nombre d’affiliés impliqués et rend également plus difficile pour LockBit d’exercer un contrôle sur le collectif.
