Les cybercriminels de LockBit piégés à leur tour : analyse d’une fuite qui en dit long. Le groupe cybercriminel LockBit, maître des rançongiciels, a été piraté. Une base de données révèle des infos sensibles : adresses BTC, et infrastructure. ZATAZ vous a analysé les messages internes.
Le gang cybercriminel LockBit[1], à l’origine d’environ 44 % des attaques par rançongiciel connues en 2023, a lui-même été victime d’un piratage. Leur site web a été modifié avec un message moqueur : « Don’t do crime, crime is bad, xoxo from Prague » (Ne commettez pas de crime, le crime, c’est mal. Bisous de Prague). Mais l’humiliation ne s’arrête pas là. Un fichier MySQL a été mis en ligne sur la page compromise, offrant un aperçu inédit des coulisses de ce réseau criminel. ZATAZ vous a décortique ce fichier d’une vingtaine de Mo.
Une base de données révélatrice
Le 7 mai, un « panel » de LockBit, avec enregistrement automatique accessible à tous [entendez, aux affiliés], a été piratée. La base de données a été récupérée. Aucun outil de déchiffrement, ni aucune donnée volée appartenant aux entreprises n’a été affecté. « Je suis en train d’analyser comment cela a été piraté et je fais une reconstruction. Le panneau complet et le blog fonctionnent. explique le « boss » de LockBit. Le pirate serait soi-disant de Prague. Donnez des infos sur lui, qui il est — je paierai si l’info est authentique.«
L’analyse du fichier SQL partagé révèle qu’il s’agit d’une sauvegarde de l’administration Lockbit. La base contient une table centrale nommée users, regroupant plusieurs comptes clés : admin, matrix777, fedor, KeaynBaker… Tous disposent de rôles, permissions et modules activés. Ces modules incluent : chats, news, builder_chat_generate, faq, lb_black, etc.. Typiques d’un panneau de contrôle utilisé pour des actions coordonnées (phishing, botnet, spamming ou gestion de rançons).
Les dates d’activité enregistrées s’étalent de novembre 2020 au 29 avril 2025. Détail intéressant. Les différentes actions contre Lockbit ces dernières années n’ont pas permis de faire disparaitre ce qui semble être un important responsable de ce groupe pirates. Les comptes sont liés à des tokens, des clés API, et des logs indiquant un usage structuré. Le seul pseudo identifié comme administrateur principal dans la base est »admin », actif donc depuis novembre 2020. Aucune trace explicite d’autres pseudos avec un rôle élevé (type co-admin, modérateur ou développeur principal), ce qui indique une structure centralisée avec un compte maître unique ; Une séparation des identités dans une autre base ou dans des systèmes cloisonnés (ex: via Telegram, Jabber ou autre interface).
Des indices sur les victimes et infrastructures
Parmi les URLs retrouvées dans la base, plusieurs mènent vers des domaines .onion accessibles via le réseau TOR, comme : http://e4hwk3…onion (masqué pour confidentialité). Des URLs utilisant bxss.me, un outil bien connu pour tester les failles XSS. Ils affichent pas mal de clés. Ces indices suggèrent que le gang utilisait des outils pour automatiser les tests de vulnérabilité, probablement sur les infrastructures des victimes, avant déploiement de leur rançongiciel. Selon zataz.com, les données divulguées comprennent : 66.000 adresses Bitcoin uniques (plus exactement 59 975 !), 4.442 messages entre LockBit et ses victimes (de décembre à avril), 75 mots de passe d’administrateurs et collaborateurs, des versions spécifiques de ransomware, adaptées à certaines cibles. Des analyses préliminaires ont révélé que certaines de ces adresses BTC ont reçu des fonds. Par exemple, l’analyste Milivoj Rajić a identifié une adresse contenant 100 000 $ en Bitcoin après avoir examiné une fraction des adresses divulguées. Cela suggère que, bien que toutes les adresses n’aient pas été utilisées, une proportion significative a servi à recevoir des paiements de rançon.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
LockBit minimise… mais offre une prime
Le groupe LockBit a tenté de calmer la tempête. Il assure que les mécanismes de déchiffrement n’ont pas été compromis, et que les entreprises touchées peuvent continuer à négocier ou décrypter via les canaux habituels. Fait surprenant : LockBit offre désormais une récompense pour retrouver le hacker praguois à l’origine de cette fuite. Il avait déjà offert une prime dans un bug bounty interne. Début 2024, une opération coordonnée des forces de sécurité internationales a permis de prendre temporairement le contrôle du site de LockBit. En mai 2023, les États-Unis ont désigné le Russe Dmitry Khoroshev comme chef du gang. Mais malgré ces coups durs, LockBit continue d’émerger, de muter, et de nuire. Cette fuite, aussi spectaculaire soit-elle, n’est peut-être qu’une mèche de plus dans un baril de poudre cybercriminel prêt à exploser.
Les discussions pirates / entreprises
Je vous ai analysé une vingtaine de messages tirés de ce « dump ». Je n’afficherai pas les noms, ni les entreprises. Des discussions qui donnent une idée de l’état d’esprit des pirates et de leurs victimes.
EN : In the same folder, some data can be
decrypted but other files are corrupted.
FR : Dans le même dossier, certaines données
peuvent être déchiffrées, mais d’autres fichiers sont
corrompus.
La victime semble tester un déchiffreur fourni par LockBit. Elle
rapporte des résultats partiels, ce qui peut être une tactique pour
négocier le prix, ou alors LockBit a fait de maniére à ne pas tout
déchiffrer pour s’assurer d’un paiement.
EN : Your personal identifier to communicate
with us is 92829-XG
FR : Votre identifiant personnel pour communiquer
avec nous est 92829-XG
Contexte : Message automatique de LockBit envoyé à chaque nouvelle
victime pour gérer les discussions via leur portail.
EN : Hello, after the company’s discussion
and decision, we are ready to negotiate.
FR : Bonjour, après discussion et décision de
l’entreprise, nous sommes prêts à négocier.
La victime revient vers les pirates après consultation de sa
direction. Moment clé d’une ouverture à la rançon.
EN : Our bank is saying that LockBit is
sanctioned. We can’t transfer crypto.
FR : Notre banque dit que LockBit est sanctionné.
Nous ne pouvons pas transférer de crypto.
Tentative (réelle ou stratégique) de la victime pour repousser ou
annuler le paiement.
EN : I can make a test decryptor only with
small files
FR : Je peux créer un déchiffreur de test
uniquement avec des petits fichiers
LockBit propose une preuve de sa capacité à restaurer les données,
en général pour rassurer la victime.
EN : our market share lower and lower every
year, and now this
FR : notre part de marché baisse chaque année, et
maintenant ça
Une victime exprime son désarroi, essayant probablement d’obtenir
une réduction.
EN : Everything is fine. We have received
your advance. Decryption starts.
FR : Tout est en ordre. Nous avons reçu votre
acompte. Le déchiffrement commence.
Confirmation de LockBit après réception d’un paiement !
EN : Hello? Can I take a look at the test
file?
FR : Bonjour ? Puis-je consulter le fichier de
test ?
La victime demande à vérifier que le déchiffreur fonctionne avant
de payer.
EN : hello sir, can you please let us know
how we can proceed securely?
FR : bonjour monsieur, pouvez-vous nous indiquer
comment procéder en toute sécurité ?
La victime cherche des instructions pour payer, ou pour lancer le
déchiffreur sans risquer l’effacement.
EN : Can you explain what you mean? I’m just
passing your message to the team.
FR : Pouvez-vous expliquer ce que vous voulez dire
? Je transmets simplement votre message à l’équipe.
Dialogue interrompu ou incompréhension côté victime, souvent en cas
de pression ou de stress.
EN : Rest of the payment has been sent to
your BTC address.
FR : Le reste du paiement a été envoyé à votre
adresse BTC.
La victime confirme le règlement final. Le déchiffrement intégral
est donc attendu.
EN : We will never cheat our customers.
Promise will be kept.
FR : Nous ne trompons jamais nos clients. Promesse
tenue.
LockBit tente de rassurer une victime, renforçant sa crédibilité
dans le « business » des rançons.
EN : Copy your 99 files to another folder if
you want to decrypt test
FR : Copiez vos 99 fichiers dans un autre dossier
si vous voulez tester le déchiffreur
LockBit fournit des instructions pour une démonstration de
déchiffrement.
EN : Split transfer of $20k worth of BTC has
been sent.
FR : Un transfert fractionné de 20 000 $ en BTC a
été envoyé.
Paiement par tranches, sans doute pour éviter les suspicions côté
bancaire.
EN : Bro, we have a hard time communicating
with them. Language issue.
FR : Frérot, on a du mal à communiquer avec eux.
Problème de langue.
LockBit discute probablement en interne ou avec un intermédiaire ;
montre les limites humaines du gang.
EN : Too many ID chat windows, I will
establish communication again later.
FR : Trop de fenêtres de discussions ID ouvertes,
je reprendrai contact plus tard.
L’un des membres de LockBit est débordé ; ils gèrent plusieurs
négociations en parallèle.
EN : Let us try to find solution together, we
are willing to cooperate.
FR : Essayons de trouver une solution ensemble,
nous sommes prêts à coopérer.
Une entreprise tente la voie diplomatique, peut-être pour gagner du
temps ou négocier un rabais.
EN : You will have one decryptor for all ESXi
systems.
FR : Vous aurez un seul déchiffreur pour tous les
systèmes ESXi.
Attaque ciblant des hyperviseurs VMware — preuve d’un niveau
technique élevé.
EN : But we do more work with CN, they have
more money.
FR : Mais on travaille plus avec la Chine, ils ont
plus d’argent.
Un membre du gang partage une stratégie : cibler des pays aux
budgets plus élevés, dont la Chine !
EN : Well, I wrote everything above, a
security specialist made huge mistake.
FR : Bon, j’ai tout écrit plus haut, un
spécialiste sécurité a fait une grosse erreur.
Soit une victime blâme son prestataire, soit LockBit décrit la
faille exploitée.
L’art noir de la négociation : plongée dans la psychologie de LockBit
Ils se présentent comme des « hommes d’affaires » du numérique. Et pourtant, derrière le vernis professionnel, se cache une mécanique implacable : pression, manipulation, intimidation. Grâce à l’analyse d’échanges authentiques contenus dans une base SQL divulguée après le piratage du groupe LockBit, ZATAZ vous a décodé leur véritable jeu psychologique. Décryptage d’un théâtre de l’ombre.
Du rançonneur au prestataire : le masque de la
crédibilité
Dès les premiers messages, LockBit endosse un rôle surprenant :
celui du professionnel rationnel : « We will never
cheat our customers. Promise will be kept. » À
travers cette phrase, le groupe cherche à établir une relation de
confiance. Le message est clair : payer n’est pas seulement utile,
c’est « sûr ». On passe de la menace brute à la promesse de
service.
La pression du temps : l’étau psychologique
Les victimes sont constamment poussées à agir vite :
« What do you think, how long do you need for
answer? I’m not stupid. » Les mots sont choisis.
Pas de « menace », mais une pression ferme, calculée.
L’objectif est de précipiter la décision, de court-circuiter la
réflexion. Le stress devient l’allié du pirate.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Culpabilisation et humiliation subtile
LockBit ne se contente pas d’exiger : il accuse.
« You should protect the
files. » Cette inversion psychologique
transforme la victime en coupable. Elle aurait « mal
fait » son travail, elle est donc partiellement responsable.
Ce levier émotionnel renforce l’effet de domination du groupe.
Quand la façade se fissure : tensions internes et
humanité
Parmi les messages retrouvés, certains ne sont clairement pas
destinés aux victimes : « I hate that idiot Leo.”
“Too many ID chat windows, I will establish communication again
later. » Ces extraits révèlent un autre visage
du gang : celui de l’organisation débordée, irritée, parfois
désorganisée. On découvre des pirates humains, stressés, fatigués.
La perfection du masque s’effrite.
Le rançonneur compatissant : un revirement
maîtrisé
Lorsque la victime paie, tout change. « Everything
is fine. We have received your advance. Decryption
starts. » L’agresseur devient prestataire. Le
ton se radoucit, le service devient « irréprochable ».
L’objectif est d’afficher aux futures victimes que céder
fonctionne. Créer un précédent, une jurisprudence criminelle. Bien
entendu, payer ne vous sauvera pas !
Adaptation culturelle : le ciblage affiné
Certains messages témoignent d’une stratégie adaptée selon la cible
: « We do more work with CN, they have more
money. » Les réponses sont calibrées selon les
pays, les secteurs, les comportements. Anglais simple, ton modéré,
allusions économiques : chaque message est un tir trés étonnement
ajusté.
LockBit ne se contente pas de coder des outils malveillants. Il orchestre une mise en scène calculée, où la victime est poussée dans ses retranchements émotionnels. Crainte, culpabilité, soulagement : tout y passe. Cette approche psychologique explique en grande partie l’efficacité du groupe. Et nous rappelle que, face aux ransomware, la meilleure défense reste encore l’anticipation : sauvegardes, procédures, sang-froid. Selon le Département de la Justice des États-Unis, le groupe LockBit aurait extorqué plus de 500 millions de dollars en paiements de rançon, avec des pertes totales, en tenant compte des coûts de récupération et des temps d’arrêt, s’élevant à plusieurs milliards. De plus, une opération internationale menée en février 2024 a permis la saisie de 200 comptes de cryptomonnaie liés à LockBit, renforçant les efforts pour perturber leurs activités financières.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ[2]. Rejoignez également notre groupe WhatsApp[3] et nos réseaux sociaux[4] pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
Read more https://www.zataz.com/le-gang-lockbit-pirate-le-retour-de-flamme/
