Une fuite de LockBit révèle que les affiliés utilisent des tactiques de pression et sont rarement payés

LockBit, l'un des groupes de rançongiciels les plus prolifiques à l'heure actuelle, a été victime d'une intrusion la semaine dernière, révélant clairement ses opérations internes. Les fichiers divulgués, rendus brièvement accessibles via un site web en oignon sur le réseau Tor, ont offert aux chercheurs et aux professionnels de la sécurité un aperçu rare de la manière dont LockBit gère son système de rançongiciel en tant que service ( RaaS ).

La faille proviendrait d'une personne ayant accès à l'infrastructure de LockBit, et aurait exposé des journaux de discussion, des enregistrements de builds de ransomware, des fichiers de configuration, des adresses de portefeuille Bitcoin et des identifiants d'affiliés. Si les groupes de ransomwares sont habituellement sous les feux des projecteurs, cette fois, ils sont eux-mêmes devenus l'objet d'une analyse.

Rhys Downing, analyste au centre des opérations de sécurité d'Ontinue, a dirigé l'analyse approfondie des données divulguées. Son travail détaille les méthodes opérationnelles du programme d'affiliation de LockBit, notamment la manière dont les attaquants construisent leurs charges utiles, estiment les demandes de rançon et mènent les négociations.

L'analyse de Downing révèle également la nature structurée de l'écosystème de LockBit et décompose l'infrastructure du groupe, révélant à quel point ce réseau criminel est devenu organisé.

L'une des données les plus importantes divulguées est une table appelée en interne « builds », qui enregistre chaque charge utile de rançongiciel créée par les affiliés de LockBit. Chaque enregistrement comprend des informations telles que l'identifiant de l'affilié, les clés de chiffrement publiques et privées, les références des entreprises ciblées et les demandes de rançon déclarées.

Ces estimations ont été saisies manuellement par les attaquants eux-mêmes avant le lancement des charges utiles, révélant ainsi des informations sur leurs stratégies de tarification et le choix de leurs cibles. Certaines demandes de rançon étaient exagérées ; des entrées comme « 303kkk » (303 millions de dollars) semblent correspondre à des données de test, mais d'autres ont révélé une approche plus calculée. Par exemple, une filiale a enregistré quatre builds pour une valeur déclarée combinée de plus de 168 millions de dollars.

Malgré des centaines de versions de rançongiciels et des demandes de rançon agressives, seules 7 victimes sur 246 ont effectué un paiement. Curieusement, aucune n'a confirmé avoir reçu un outil de déchiffrement. On ignore si cela est dû à des données incomplètes ou à une omission volontaire.

Les chiffres montrent clairement que la plupart des victimes ne paient pas, et encore moins reçoivent quoi que ce soit en retour. Cela rejoint la récente violation de données de PowerSchool , où l'entreprise de technologie éducative a versé une rançon non divulguée à des cybercriminels pour éviter de nouvelles retombées, mais les attaquants ont réagi avec de nouvelles exigences, ciblant cette fois les enseignants et les élèves.

Quant à LockBit, la base de données divulguée a montré que le champ indiquant les commissions versées aux affiliés était supérieur à zéro dans seulement 2,8 % des cas. Mais même cela ne constitue pas une preuve définitive du paiement de la rançon.

Selon le rapport Ontinue Threat , plus de 4 000 transcriptions de conversations entre des affiliés de LockBit et des victimes ont également été divulguées. Ces messages témoignent d'un mélange de pression calculée, de manipulation émotionnelle et de menaces directes. Dans plusieurs cas, les affiliés ont ignoré les demandes de clémence et ont doublé le prix des rançons sans préavis.

Un affilié a répondu à une entreprise affirmant être une petite entreprise : “Your size is irrelevant. Your data is valuable.”

Une autre conversation contenait un message faisant la promotion du programme d'affiliation de LockBit dans un pitch de recrutement étrange : “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”

Ces conversations montrent que les affiliés de LockBit se comportent davantage comme des commerciaux insistants que comme des pirates informatiques ou des cybercriminels. Leurs tactiques varient de la pression psychologique aux avertissements contre toute intervention des forces de l'ordre ou des assureurs.

Ce qui est remarquable dans les données, c'est le niveau d'organisation. LockBit utilise des générateurs de charges utiles modulaires, des tableaux de bord pour les affiliés et une infrastructure back-end robuste. Les affiliés peuvent ajuster les configurations de build pour tout contrôler, depuis les fichiers à chiffrer jusqu'à la suppression automatique du déchiffreur après utilisation.

Ils ont même lancé un programme de primes aux bugs sur l'un de leurs sites Onion, offrant des récompenses pour les vulnérabilités trouvées dans leur infrastructure.

La faille a également renoué avec une précédente action policière. L'opération Cronos , menée par la National Crime Agency (NCA) du Royaume-Uni et d'autres organismes, avait déjà révélé des noms d'utilisateur liés aux opérations de LockBit. Nombre de ces noms d'utilisateur ont été confirmés par cette nouvelle fuite, correspondant aux identifiants trouvés dans les données de la charge utile.

Parmi les utilisateurs notables, on trouve :

• Ashlin avec le plus grand nombre de charges utiles générées

• Rich, Melville et Merrick comme autres opérateurs à volume élevé

Cette connexion confirme en outre que l'équipe principale du gang et ses affiliés de haut niveau sont restés cohérents même après les efforts de démantèlement passés .

En termes simples, l'analyse des violations de données d'Ontinue clarifie plusieurs points, notamment le fonctionnement de LockBit comme celui d'une franchise. Ils fournissent les logiciels malveillants, leurs affiliés mènent les attaques et chacun prend une part de la rançon.

Cette fuite montre que de nombreux affiliés traitent leurs attaques comme des appels commerciaux, en enregistrant les retours attendus, en gérant les négociations et en suivant des étapes structurées pour faire pression sur leurs victimes. Mais, tout comme une tentative de vente ratée, la plupart de ces tentatives semblent échouer.

Selon Saeed Abbasi , responsable de la recherche sur les vulnérabilités chez Qualys, cette faille constitue une précieuse source de renseignements pour les équipes de sécurité. « En comprenant quels systèmes LockBit a ciblés et comment ses filiales ont personnalisé leurs charges utiles, les équipes de sécurité peuvent mieux prioriser les correctifs, renforcer les systèmes négligés et améliorer les contrôles d'accès de base », a-t-il déclaré.

L'utilisation de Tor par LockBit demeure un moyen de défense essentiel, rendant ses sites difficiles à intercepter. Cependant, la fuite suggère qu'aucun système, même exploité par des cybercriminels, n'est véritablement sécurisé.

La faille LockBit a révélé une opération de rançongiciel qui a touché des entreprises du monde entier . Elle confirme ce que les experts en sécurité soupçonnaient depuis des années : les groupes de rançongiciels fonctionnent comme des entreprises, avec intégration des affiliés, gestion de l'infrastructure et planification financière.