La fuite de LockBit 3.0 est un modèle pour comprendre les ransomwares
Le 7 mai 2025, un événement remarquable s’est produit. Le groupe de ransomware LockBit 3.0 a été victime d’un piratage. Et il ne s’agissait pas de n’importe quelle brèche : la base de données SQL utilisée pour faire fonctionner leur plateforme d’affiliation a été exposée dans son intégralité. Cette base de données contient le type de données que l’on voit rarement en dehors des cercles de renseignement. Elle montre comment le groupe a structuré son réseau, coordonné les attaques et géré l’accès des affiliés par l’intermédiaire d’une interface web.
Ce système comportait 75 comptes d’utilisateurs. Seuls 44 ont été utilisés pour générer et lancer des attaques par ransomware. Au 29 avril 2025, seuls sept comptes menaient activement des attaques. Il s’agit d’une petite partie du total et d’un signal clair que, bien que le système soit vaste, l’essentiel du travail est effectué par quelques nœuds très actifs.
En quoi cela vous concerne-t-il ? Parce que pour la première fois, les défenseurs, les entreprises, les gouvernements, les équipes de sécurité, ont une vision directe de la façon dont un ransomware à échelle industrielle est utilisé. ransomware à l « échelle industrielle à l » échelle industrielle. Elle est structurée, sélective et fonctionne plus comme une entreprise que nous ne voulons l’admettre. Et aujourd’hui, cette activité a été révélée au grand jour.
Pour les conseils d’administration et les dirigeants, il ne s’agit pas d’avoir peur. C’est une question de clarté. Si vous comprenez comment votre adversaire se déplace, comment il construit ses équipes et ses technologies, vous ne réagissez plus. Vous planifiez. Vous décidez où placer les ressources. Cette visibilité redonne le contrôle aux dirigeants qui ont souvent l’impression d’avoir un train de retard en matière de cybersécurité.
LockBit retarde le chiffrement pour en maximiser l’impact
L’une des informations les plus précieuses tirées des données de LockBit concerne la chronologie des étapes de l’attaque. Après avoir pénétré dans un réseau et volé des données, les agents de LockBit ne déclenchent pas immédiatement la phase de chiffrement. Ils attendent souvent, parfois jusqu’à 10 jours. Ce point est important car il remet en question l’une des hypothèses de base qui sous-tendent la plupart des dispositifs de sécurité : le chiffrement est le premier signe visible que quelque chose ne va pas.
Ce n’est pas le cas.
Ce délai est stratégique. Il donne aux attaquants le temps de copier davantage de données, de se déplacer latéralement dans le réseau et d’évaluer le montant de la rançon qu’ils peuvent raisonnablement exiger. Ils sont patients, et ce délai leur permet de se cacher plus longtemps et de faire plus de dégâts avant même que vous ne vous rendiez compte de leur présence.
Pour les responsables de la sécurité, cela devrait modifier votre approche de la détection. La plupart des outils de détection sont conçus pour repérer les signes de cryptage des données ou de compromission du système. Mais si vous ne surveillez que cela, vous le faites trop tard. Vous devez repérer les signes d’exfiltration inhabituelle de données, les transferts de données non autorisés et les comportements suspects des utilisateurs, et vous devez le faire plusieurs jours avant que le chiffrement n’entre en action.
C’est là que la surveillance proactive devient un atout stratégique. Vous ne chassez pas des fantômes, vous identifiez les attaquants pendant qu’ils cartographient encore votre environnement. C’est à ce moment-là qu’ils sont les plus faibles. C’est à ce moment-là que vous agissez.
Et voici ce qu’il faut retenir pour les dirigeants : La menace ne se limite pas à la charge utile du ransomware. C’est le temps et l’espace que les criminels s’accordent avant de frapper. C’est là que vos investissements en matière de sécurité doivent se concentrer, non seulement pour arrêter le coup, mais aussi pour détecter le vent avant qu’il ne frappe.
L’accent mis par LockBit sur l’Asie-Pacifique est le signe d’une évolution du risque cybernétique à l’échelle mondiale
Si vous menez des opérations dans la région Asie-Pacifique, soyez attentif. La récente fuite de la base de données de LockBit révèle un fort penchant opérationnel pour cette région. Entre décembre 2024 et avril 2025, 35,5 % de leurs activités ont ciblé l’Asie-Pacifique, soit plus que l’Europe (22 %) et bien plus que l’Amérique du Nord (moins de 11 %). Même l’Amérique latine, souvent négligée dans les discussions sur la cybernétique mondiale, a connu une activité plus importante (12 %).
Voyons maintenant ce qu’il en est. Des affiliés comme PiotrBond et Umarbishop47 se sont concentrés sur l’Asie-Pacifique, avec 76 % et 81 % de leurs victimes respectives dans cette région. JamesCraig a suivi une tendance similaire, avec 42 % de ses victimes dans cette région. Il ne s’agit pas de choix accidentels. Il s’agit de campagnes coordonnées, qui évaluent probablement les seuils de détection, la vitesse de réponse aux incidents et la maturité cybernétique globale des pays sélectionnés.
À elle seule, la Chine a fait 51 victimes au cours de cette période, suivie de près par l’Indonésie (49) et l’Inde (35). La Corée du Sud est très peu mentionnée, ce qui laisse supposer une sous-représentation ou une meilleure protection. Le point important ici est l’orientation stratégique. Le groupe ne cherche pas à faire les gros titres. Il cible des zones où la visibilité est plus faible et le temps de réaction plus lent.
Pour les dirigeants, cela a des implications directes. Si votre chaîne d’approvisionnement, votre clientèle, vos centres de données ou les bureaux de vos filiales opèrent dans cette partie du monde, votre exposition est nettement plus élevée qu’elle ne peut l « être dans vos rapports nationaux. Ne vous fiez pas à une visibilité dépassée. Auditez votre sécurité sur le marché. Validez votre état de préparation. Et placez la barre plus haut avec vos partenaires locaux. La menace n’est pas théorique, elle est déjà à l » œuvre.
L’écosystème d’affiliation de LockBit montre ses points faibles
Soixante-quinze comptes étaient enregistrés dans le système d’affiliation de LockBit. Mais voici ce qui importe : le 29 avril 2025, seuls sept d’entre eux lançaient effectivement des attaques actives de ransomware. Sur les 30 comptes signalés comme actifs, seule une petite poignée produisait des résultats. Ce n’est pas un modèle de croissance, c’est un signal de fatigue opérationnelle.
Il ne s’agit pas seulement de chiffres. C’est une question de capacité. Alors que LockBit a franchisé son modèle à de nombreux affiliés, seuls quelques-uns d’entre eux semblent capables de générer une activité réelle. Cela nous indique deux choses : Premièrement, LockBit survit grâce à un nombre réduit d’opérateurs expérimentés. Deuxièmement, il a du mal à remplacer ou à activer les talents malgré une infrastructure intacte. La capacité du groupe à évoluer s’est réduite.
Ces données sont précieuses pour les défenseurs. Si vous pouvez détecter et perturber quelques affiliés clés, vous n’avez pas besoin de les arrêter tous. Cela suggère également que la réputation antérieure de LockBit d « être bien organisé n’est peut-être plus le reflet de son état actuel. Les joueurs d » élite sont toujours dangereux, mais ils ne sont plus entourés d’un écosystème solide.
Pour les dirigeants, le message est clair : c’est maintenant qu’il faut faire pression. Si les acteurs de la menace sont en perte de vitesse, augmentez la friction défensive. Renforcez la surveillance, resserrez les contrôles d’accès, formez le personnel aux vulnérabilités de l’hameçonnage et augmentez vos investissements en matière de renseignements sur les menaces. Moins il y a d’affiliés dotés de capacités réelles, plus il est facile de se concentrer et de réagir de manière décisive.
Les affiliés de LockBit privilégient le volume à la valeur
LockBit ajuste sa stratégie. Les demandes de rançon en témoignent. La plupart d’entre elles sont tombées en dessous de 20 000 dollars, ce qui est modeste pour un ransomware. Les affiliés ne ciblent plus les grandes organisations complexes, mais des organisations plus petites et moins matures sur le plan cybernétique. C’est une question de portée, pas d’échelle. Ils choisissent des entreprises moins susceptibles d’avoir des défenses renforcées et plus enclines à payer rapidement et discrètement.
La fuite montre qu’il ne s’agit pas d’un cas isolé. Il s’agit d’un phénomène systémique. Les affiliés optent pour des cibles où le potentiel de paiement peut être plus faible, mais où les frictions sont minimes. Ces organisations, souvent situées dans des pays aux revenus moyens, n’ont pas la même maturité de réponse aux incidents ou la même résilience budgétaire que les institutions d’Amérique du Nord ou de certaines régions d’Europe. Cela les rend plus vulnérables et plus faciles à influencer pour obtenir des paiements plus modestes et immédiats.
D’un point de vue commercial, il s’agit d’une économie criminelle efficace. Pourquoi chercher à obtenir une rançon de 10 millions de dollars quand dix rançons de 20 000 dollars sont plus rapides et tout aussi rentables, avec un risque bien moindre d’action de la part des forces de l’ordre ? Pour les dirigeants, cela a des implications importantes. Le risque n’est plus lié à votre taille ou à votre visibilité. Si vos défenses sont obsolètes ou si votre équipe n’est pas suffisamment formée, vous êtes sur la liste, que vous soyez à la tête d’une multinationale ou d’un fournisseur de services de niveau intermédiaire.
Les dirigeants doivent revoir leurs hypothèses. L’état d’esprit « nous sommes trop petits pour être une cible » ne tient plus. Effectuez des simulations de menaces. Examinez les points d’extrémité. Assurez-vous que les capacités de détection sont conçues pour être étendues, et pas seulement pour être approfondies. Les attaquants ont élargi leur champ d’action, votre stratégie de sécurité doit s’adapter à ce changement.
La réputation de LockBit est en train de se fissurer, ce qui réduit son influence.
Les pirates ont besoin de crédibilité. Sans elle, les rançongiciels ne fonctionnent pas. Les victimes ne paieront pas si elles ne croient pas que les attaquants iront jusqu’au bout ou tiendront leur parole. La dernière faille de sécurité de LockBit, la fuite de l’intégralité de sa base de données, a porté un coup sévère à son image de marque.
Cette fuite a révélé les identifiants de messagerie cryptés de Tox, les mots de passe de comptes stockés en clair et les pseudonymes liés à des activités connues, y compris des détails que les chercheurs de l’OSINT peuvent désormais retracer. Elle a également révélé les clés de chiffrement privées des victimes. C’est plus qu’embarrassant. C’est un effondrement opérationnel. La confiance que les affiliés accordent à LockBit s’érode. Et ces fractures internes montrent que la capacité du groupe à attirer de nouveaux talents et à les fidéliser est en déclin.
Au centre de ces retombées se trouve Dmitry Yuryevich Khoroshev, également connu sous le nom de LockBitSupp, nommé par l’Agence nationale britannique de lutte contre la criminalité au cours de l’opération Cronos en mai 2024. Son démasquage a contribué à la perte de l’anonymat qui donnait autrefois à LockBit sa puissance de feu. Avec d’autres arrestations et démantèlements d’affiliés dans toute l’Europe, la marque est endommagée et l’infrastructure criminelle qui l’entoure s’affaiblit.
Pour les cadres supérieurs, c’est le moment où la perturbation peut être maximisée. Un adversaire fracturé est plus vulnérable à l’application de la loi et à la résistance. Ce qui compte maintenant, c’est d’utiliser les données de cette fuite pour anticiper de nouveaux schémas d’attaque, partager des renseignements dans votre écosystème et établir des liens plus étroits avec les forces de l’ordre et les coalitions de cyberdéfense.
Les groupes de ransomwares gagnent rapidement en influence, mais ils s’effondrent aussi rapidement sous la pression. L’état actuel de LockBit en est la preuve. Il ne s’agit pas seulement d’une opportunité défensive, mais d’un timing stratégique.
Le déclin de LockBit reflète l’impact croissant de l’application des lois sur la cybercriminalité au niveau mondial.
LockBit n’a pas commencé comme un acteur mineur. Il a dominé l’espace des ransomwares pendant des années. Des incidents majeurs, de l’attaque de Royal Mail début 2023 aux perturbations impliquant Boeing et un prêteur chinois, ont fait de LockBit un nom que la plupart des RSSI connaissaient bien. Mais depuis le début de l’année 2024, les choses ont changé. L’action coordonnée des forces de l’ordre a systématiquement réduit l’influence, la portée et la crédibilité du groupe.
Les preuves sont claires. En février 2024, l’opération Cronos, menée conjointement par la National Crime Agency du Royaume-Uni, a conduit à des arrestations en Pologne et en Ukraine. La même année, le FBI a récupéré plus de 7 000 clés de décryptage, réduisant ainsi considérablement la pression exercée sur des centaines de victimes. Royal Mail a publiquement refusé de payer la rançon de 66 millions de livres demandée par LockBit et a dépensé 10 millions de livres pour reconstruire ses systèmes de sécurité. Cette réaction, et son caractère public, ont réduit l’influence financière du groupe.
LockBit a tenté de préserver son image. Les affiliés ont promis un retour. Des communications provenant du dark web laissaient présager un renouveau en février 2025. Mais l’élan s’est émoussé. La récente fuite de données montre qu’il y a moins de membres actifs, que les stratégies de ciblage sont incohérentes et que l’accent est moins mis sur les victimes de grande valeur. Ce que nous voyons aujourd’hui, c’est une organisation qui se débarrasse de ses capacités plus rapidement qu’elle ne suscite la peur.
Pour les dirigeants, cette évolution est intéressante. Il montre comment l’application de la loi avec des conséquences importantes, un refus public clair de négocier et le démantèlement d’infrastructures stratégiques peuvent affaiblir même les réseaux cybercriminels les mieux établis. Lorsque les gouvernements, les entreprises de sécurité et les entreprises concernées agissent de concert, les résultats suivent.
Ce qu’il faut retenir, c’est une question de timing. Pendant des années, LockBit a fonctionné de manière largement incontrôlée. Mais en moins de 18 mois, des perturbations techniques, des fuites de renseignements et des pressions juridiques l’ont amené au bord de l’insignifiance. Il ne s’agit pas d’une coïncidence, mais d’une dynamique. Et les stratégies de sécurité intelligentes devraient maintenant consister à pousser cette dynamique vers l’avant.
Attendez-vous à ce que de nouveaux groupes émergent. Mais n’oubliez pas qu’aucun acteur de la menace n’est à l’abri d’un effondrement lorsque la pression est constante et coordonnée. Ce qui a fonctionné contre LockBit peut, et doit, s’appliquer à l’ensemble du paysage des ransomwares.
Dernières réflexions
Il ne s’agit pas d’un simple incident cybernétique. La fuite LockBit 3.0 nous permet de voir à quel point ces opérations se sont professionnalisées, à quel point ces groupes sont sélectifs, structurés et stratégiques lorsque les conditions le permettent. Mais elle montre aussi ce qui se passe lorsque la pression est exercée à grande échelle.
Pour les décideurs, c’est le moment de passer de la réactivité à la proactivité. Vous savez maintenant où se concentre la menace, quelles sont les tactiques en jeu et où les attaquants perdent du terrain. Utilisez ces informations intelligemment. Repensez vos investissements en matière de défense. Faites pression pour obtenir une meilleure visibilité dans chaque région où vous opérez. Et ne sous-estimez pas la valeur de la coordination entre les équipes, les fournisseurs, les gouvernements et les secteurs d’activité.
Lorsque les attaquants sont démasqués, ils perdent la confiance. Lorsqu’ils perdent la confiance, ils perdent l’influence. C’est là votre chance. Maintenez la pression, gardez une longueur d’avance sur les attaques visant de petites cibles et utilisez des données comme celles-ci pour prendre plus rapidement des décisions plus intelligentes. Car si la menace évolue, vous évoluez aussi.
