LockBit hacké : porte ouverte sur un poids lourd du ransomware

"On ne veut pas impliquer la presse ou la police. Peut-on dire 20 000 $ ?"

Le CSD Drancy (centre dentaire associatif en Seine-Saint-Denis) semble avoir négocié ainsi - en anglais dans le texte - avec un des affiliés de LockBit. Pour finalement verser, potentiellement, l'équivalent de 25 000 $ en bitcoins.

Cela ressort, tout du moins, d'un dump MySQL dérobé... à LockBit lui-même, sur un de ses back-ends. En l'occurrence, la plate-forme PHP qui porte son activité de ransomware-as-a-service, de la compilation de charges utiles à la gestion des paiements.

Des milliers de messages de négociation

Ce dump a été réalisé le 29 avril 2025. Il n'a véritablement fait surface que le 7 mai, dans le cadre d'une attaque contre les sites Onion de LockBit. Défacés, ceux-ci affichaient un lien qui permettait de télécharger le fichier. Ainsi qu'un court message déjà vu en avril lors du défacement du site vitrine d'un autre ransomware (Everest).

Le fichier donne un généreux aperçu du fonctionnement interne de LockBit. Il comprend notamment :

• Près de 60 000 adresses Bitcoin
• Plus d'un millier de configurations de charges utiles
• Les profils de quelques centaines de victimes
• Environ 4400 messages de négociation
• Une liste de 75 utilisateurs

L'administrateur principal de LockBit a confirmé l'incident, qui découlerait d'un contournement d'authentification. Il le dit néanmoins circonscrit à un "panneau de gestion léger" permettant l'enregistrement automatique d'affiliés. Et affirme que n'ont filtré ni "déchiffreurs", ni données sensibles de victimes.

Dans la pratique, le dump contient ce qui s'apparente à 30 000 clés privées, possiblement une pour chaque machine chiffrée (moyenne : 24 par charge utile listée). Beaucoup de ces clés semblent avoir été importées en masse en décembre 2024, moment auquel le back-end devient vraiment actif, peut-être pour remplacer une partie de l'infra démantelée lors de l'opération Cronos.

Des éléments pour tracer les affiliés de LockBit

Les 75 utilisateurs enregistrés sont classés en 6 catégories : les nouveaux, les "vérifiés" (affiliés réglos sur leurs commissions), les scammers (non réglos), les pentesters confirmés et ceux suspectés... ainsi que ceux ayant touché des entités en Russie. Au moins l'un d'entre eux est dans ce cas. Il a atteint la ville de Tchebarkoul (sud de l'Oural, à proximité du Kazakhstan), à laquelle l'administrateur de LockBit a fourni un déchiffreur... qui n'a pas fonctionné, en tout cas dans un premier temps.

Les identifiants Tox de certains de ces utilisateurs étaient stockés en clair dans la base de données. De surcroît, les hashs de leurs mots de passe - d'ailleurs parfois réutilisés - n'ont pas de salage, ce qui ouvre la voie à leur récupération par force brute.

Il s'écoule, en moyenne, environ 17 heures entre la compilation d'une charge utile et le premier message de négociation. Chacune a son adresse Bitcoin (la numérotation suggère une création automatisée par un script déterministe).
La rançon médiane exigée s'élève à 5 M$ ; le montant le plus fréquemment demandé, à 10 k$. Les TLD qui reviennent le plus rançon dans les noms de domaine associés aux victimes sont le .br (Brésil), le .cn (Chine) et le .tw (Taïwan).

À partir de début février, les charges utiles compilées tendent à basculer du locker-only au locker + stealer. Avec, toujours, la mise à disposition d'éléments de preuve standardisés pour aider les affiliés dans leurs négociations. Les identifiants de ces derniers laissent penser que des membres d'anciens écosystèmes ransomware - dont Conti - ont fini par rejoindre LockBit.

Illustration principale générée par IA