Cybersécurité: la patte de LockBit derrière 11% des attaques par rançongiciel en France

Selon un rapport de sept agences de cybersécurité (Allemagne, Australie, Canada, États-Unis, France, Nouvelle-Zélande et Royaume-Uni), LockBit est responsable dans l’Hexagone de 11% des attaques par rançongiciel suivies par l’Anssi depuis 2020, soit un total de 69 raids. Cette moyenne masque toutefois une forte activité en 2022 et 2023, avec 27% d’attaques par rançongiciel attribuées au célèbre gang de cybercriminels en France, qui avait par exemple visé récemment Voyageurs du Monde ou l’hôpital de Corbeil-Essonnes.

Au Canada, LockBit est impliqué dans 22% des attaques par rançongiciel, une part légèrement supérieure en Nouvelle-Zélande (23%) mais inférieure en Australie (18%). Enfin, aux Etats-Unis, cette part, pour les attaques visant le secteur public, est seulement de 16%. Le Royaume-Uni et l’Allemagne, les deux derniers partenaires derrière ce rapport, n’ont pas fourni de chiffres de ce genre.

Forte capacité de nuisance

Selon les données disponibles sur le site de LockBit, l’organisation criminelle revendique un total de 1653 victimes. Un chiffre à prendre avec précaution: comme le signale l’Anssi, dans 13% des attaques signalées en France, l’agence n’a pas pu avoir la certitude qu’il y avait bien eu une intrusion. Quoiqu’il en soit, cela aurait permis aux cybercriminels d’extorquer un minimum de 91 millions de dollars de rançons payées, soit le montant observé pour les seuls Etats-Unis depuis janvier 2020.

Cette forte capacité de nuisance de ces cybercriminels a visiblement justifié la coproduction de ce rapport, une première pour l’Anssi. Le cyber-pompier français explique que cette démarche “démontre notre volonté partagée de renforcer nos liens avec nos partenaires pour relever ce défi commun de massification de la menace”.

Méthodes et outils utilisés

Ce document de trente pages est ainsi censé permettre une meilleure connaissance des méthodes et des outils utilisés par le gang et ses affiliés. Les développeurs de cette infrastructure criminelle ont réussi au fil des versions de leur rançongiciel, notent les auteurs du rapport, à mettre en place une interface simplifiée “accessible à ceux qui ont un degré de compétence technique inférieur”.

LockBit 3.0/ Black, repéré en mars 2022, représente aujourd’hui l’essentiel des attaques signalées en France. Dans deux cas assez intrigants, la victime a même été infectée par trois souches différentes (LockBit 2.0/Red, LockBit 3.0/Black, et LockBit Green).

Outre ces efforts d’innovation, le développement du gang doit enfin beaucoup à sa capacité à séduire des affiliés, en leur laissant récupérer eux-mêmes la rançon avant de payer leur tribut aux développeurs. “Cette pratique contraste fortement avec les autres groupes de rançongiciels à la demande qui se payent d’abord avant de reverser leur part à leurs affiliés”, soulignent les auteurs.