Le groupe LockBit réapparaît avec des capacités améliorées après un démantèlement

La tristement célèbre opération de ransomware-as-a-service (RaaS), connue sous le nom de LockBit, a fait preuve de résilience et a fait évoluer ses capacités suite à un important démantèlement international par les forces de l'ordre en février 2024. L'Opération Cronos a considérablement perturbé l'infrastructure du groupe, compromettant son panneau d'administration et exposant des données internes.

Dans l'après-coup de l'opération, LockBit a fourni aux victimes des clés de déchiffrement et a révélé que les données volées étaient souvent conservées même après le paiement des rançons. Cette divulgation a causé des dommages à la réputation, entraînant une baisse temporaire des nouvelles infections. Cependant, le groupe a réussi à maintenir une illusion d'activité normale en republiant d'anciennes victimes sur de nouveaux sites de fuites de données.

Maintenant, en septembre 2025, le groupe a refait surface avec LockBit 5.0, une version décrite comme considérablement plus dangereuse que ses prédécesseurs. Cette dernière itération intègre une sophistication technique accrue et des techniques d'évasion avancées. Les versions précédentes, telles que LockBit 3.0 (LockBit Black), utilisaient des méthodes de chiffrement complexes, y compris une version modifiée de l'algorithme Salsa20 associée à RSA, et employaient des tactiques anti-analyse telles que la résolution dynamique d'API et la réflexion de DLL.

La capacité de LockBit à s'adapter après des actions des forces de l'ordre souligne la nature persistante des menaces cybernétiques avancées. Le déploiement de LockBit 5.0 représente un risque important pour les secteurs mondiaux critiques, notamment la finance, la santé et la technologie, soulignant l'innovation et l'adaptabilité continues des organisations cybercriminelles.