Previous Story
Le gang LockBit piraté : le retour de flamme ?
Posted On 11 Mai 2025
Comment: Off
Les cybercriminels de LockBit piégés à leur tour : analyse d’une fuite qui en dit long. Le groupe cybercriminel LockBit, maître des rançongiciels, a été piraté. Une base de données révèle des infos sensibles : adresses BTC, et infrastructure. ZATAZ vous a analysé les messages internes.
Le gang cybercriminel LockBit, à l’origine d’environ 44 % des attaques par rançongiciel connues en 2023, a lui-même été victime d’un piratage. Leur site web a été modifié avec un message moqueur : « Don’t do crime, crime is bad, xoxo from Prague » (Ne commettez pas de crime, le crime, c’est mal. Bisous de Prague). Mais l’humiliation ne s’arrête pas là. Un fichier MySQL a été mis en ligne sur la page compromise, offrant un aperçu inédit des coulisses de ce réseau criminel. ZATAZ vous a décortique ce fichier d’une vingtaine de Mo.
Une base de données révélatrice
Le 7 mai, un « panel » de LockBit, avec enregistrement automatique accessible à tous [entendez, aux affiliés], a été piratée. La base de données a été récupérée. Aucun outil de déchiffrement, ni aucune donnée volée appartenant aux entreprises n’a été affecté. « Je suis en train d’analyser comment cela a été piraté et je fais une reconstruction. Le panneau complet et le blog fonctionnent. explique le « boss » de LockBit. Le pirate serait soi-disant de Prague. Donnez des infos sur lui, qui il est — je paierai si l’info est authentique.«
L’analyse du fichier SQL partagé révèle qu’il s’agit d’une sauvegarde de l’administration Lockbit. La base contient une table centrale nommée users, regroupant plusieurs comptes clés : admin, matrix777, fedor, KeaynBaker… Tous disposent de rôles, permissions et modules activés. Ces modules incluent : chats, news, builder_chat_generate, faq, lb_black, etc.. Typiques d’un panneau de contrôle utilisé pour des actions coordonnées (phishing, botnet, spamming ou gestion de rançons).
Les dates d’activité enregistrées s’étalent de novembre 2020 au 29 avril 2025. Détail intéressant. Les différentes actions contre Lockbit ces dernières années n’ont pas permis de faire disparaitre ce qui semble être un important responsable de ce groupe pirates. Les comptes sont liés à des tokens, des clés API, et des logs indiquant un usage structuré. Le seul pseudo identifié comme administrateur principal dans la base est »admin », actif donc depuis novembre 2020. Aucune trace explicite d’autres pseudos avec un rôle élevé (type co-admin, modérateur ou développeur principal), ce qui indique une structure centralisée avec un compte maître unique ; Une séparation des identités dans une autre base ou dans des systèmes cloisonnés (ex: via Telegram, Jabber ou autre interface).
Des indices sur les victimes et infrastructures
Parmi les URLs retrouvées dans la base, plusieurs mènent vers des domaines .onion accessibles via le réseau TOR, comme : http://e4hwk3…onion (masqué pour confidentialité). Des URLs utilisant bxss.me, un outil bien connu pour tester les failles XSS. Ils affichent pas mal de clés. Ces indices suggèrent que le gang utilisait des outils pour automatiser les tests de vulnérabilité, probablement sur les infrastructures des victimes, avant déploiement de leur rançongiciel. Selon zataz.com, les données divulguées comprennent : 66.000 adresses Bitcoin uniques (plus exactement 59 975 !), 4.442 messages entre LockBit et ses victimes (de décembre à avril), 75 mots de passe d’administrateurs et collaborateurs, des versions spécifiques de ransomware, adaptées à certaines cibles. Des analyses préliminaires ont révélé que certaines de ces adresses BTC ont reçu des fonds. Par exemple, l’analyste Milivoj Rajić a identifié une adresse contenant 100 000 $ en Bitcoin après avoir examiné une fraction des adresses divulguées. Cela suggère que, bien que toutes les adresses n’aient pas été utilisées, une proportion significative a servi à recevoir des paiements de rançon.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
LockBit minimise… mais offre une prime
Le groupe LockBit a tenté de calmer la tempête. Il assure que les mécanismes de déchiffrement n’ont pas été compromis, et que les entreprises touchées peuvent continuer à négocier ou décrypter via les canaux habituels. Fait surprenant : LockBit offre désormais une récompense pour retrouver le hacker praguois à l’origine de cette fuite. Il avait déjà offert une prime dans un bug bounty interne. Début 2024, une opération coordonnée des forces de sécurité internationales a permis de prendre temporairement le contrôle du site de LockBit. En mai 2023, les États-Unis ont désigné le Russe Dmitry Khoroshev comme chef du gang. Mais malgré ces coups durs, LockBit continue d’émerger, de muter, et de nuire. Cette fuite, aussi spectaculaire soit-elle, n’est peut-être qu’une mèche de plus dans un baril de poudre cybercriminel prêt à exploser.
Les discussions pirates / entreprises
Je vous ai analysé une vingtaine de messages tirés de ce « dump ». Je n’afficherai pas les noms, ni les entreprises. Des discussions qui donnent une idée de l’état d’esprit des pirates et de leurs victimes.
EN : In the same folder, some data can be decrypted but other files are corrupted.
FR : Dans le même dossier, certaines données peuvent être déchiffrées, mais d’autres fichiers sont corrompus.
La victime semble tester un déchiffreur fourni par LockBit. Elle rapporte des résultats partiels, ce qui peut être une tactique pour négocier le prix, ou alors LockBit a fait de maniére à ne pas tout déchiffrer pour s’assurer d’un paiement.
EN : Your personal identifier to communicate with us is 92829-XG
FR : Votre identifiant personnel pour communiquer avec nous est 92829-XG
Contexte : Message automatique de LockBit envoyé à chaque nouvelle victime pour gérer les discussions via leur portail.
EN : Hello, after the company’s discussion and decision, we are ready to negotiate.
FR : Bonjour, après discussion et décision de l’entreprise, nous sommes prêts à négocier.
La victime revient vers les pirates après consultation de sa direction. Moment clé d’une ouverture à la rançon.
EN : Our bank is saying that LockBit is sanctioned. We can’t transfer crypto.
FR : Notre banque dit que LockBit est sanctionné. Nous ne pouvons pas transférer de crypto.
Tentative (réelle ou stratégique) de la victime pour repousser ou annuler le paiement.
EN : I can make a test decryptor only with small files
FR : Je peux créer un déchiffreur de test uniquement avec des petits fichiers
LockBit propose une preuve de sa capacité à restaurer les données, en général pour rassurer la victime.
EN : our market share lower and lower every year, and now this
FR : notre part de marché baisse chaque année, et maintenant ça
Une victime exprime son désarroi, essayant probablement d’obtenir une réduction.
EN : Everything is fine. We have received your advance. Decryption starts.
FR : Tout est en ordre. Nous avons reçu votre acompte. Le déchiffrement commence.
Confirmation de LockBit après réception d’un paiement !
EN : Hello? Can I take a look at the test file?
FR : Bonjour ? Puis-je consulter le fichier de test ?
La victime demande à vérifier que le déchiffreur fonctionne avant de payer.
EN : hello sir, can you please let us know how we can proceed securely?
FR : bonjour monsieur, pouvez-vous nous indiquer comment procéder en toute sécurité ?
La victime cherche des instructions pour payer, ou pour lancer le déchiffreur sans risquer l’effacement.
EN : Can you explain what you mean? I’m just passing your message to the team.
FR : Pouvez-vous expliquer ce que vous voulez dire ? Je transmets simplement votre message à l’équipe.
Dialogue interrompu ou incompréhension côté victime, souvent en cas de pression ou de stress.
EN : Rest of the payment has been sent to your BTC address.
FR : Le reste du paiement a été envoyé à votre adresse BTC.
La victime confirme le règlement final. Le déchiffrement intégral est donc attendu.
EN : We will never cheat our customers. Promise will be kept.
FR : Nous ne trompons jamais nos clients. Promesse tenue.
LockBit tente de rassurer une victime, renforçant sa crédibilité dans le « business » des rançons.
EN : Copy your 99 files to another folder if you want to decrypt test
FR : Copiez vos 99 fichiers dans un autre dossier si vous voulez tester le déchiffreur
LockBit fournit des instructions pour une démonstration de déchiffrement.
EN : Split transfer of $20k worth of BTC has been sent.
FR : Un transfert fractionné de 20 000 $ en BTC a été envoyé.
Paiement par tranches, sans doute pour éviter les suspicions côté bancaire.
EN : Bro, we have a hard time communicating with them. Language issue.
FR : Frérot, on a du mal à communiquer avec eux. Problème de langue.
LockBit discute probablement en interne ou avec un intermédiaire ; montre les limites humaines du gang.
EN : Too many ID chat windows, I will establish communication again later.
FR : Trop de fenêtres de discussions ID ouvertes, je reprendrai contact plus tard.
L’un des membres de LockBit est débordé ; ils gèrent plusieurs négociations en parallèle.
EN : Let us try to find solution together, we are willing to cooperate.
FR : Essayons de trouver une solution ensemble, nous sommes prêts à coopérer.
Une entreprise tente la voie diplomatique, peut-être pour gagner du temps ou négocier un rabais.
EN : You will have one decryptor for all ESXi systems.
FR : Vous aurez un seul déchiffreur pour tous les systèmes ESXi.
Attaque ciblant des hyperviseurs VMware — preuve d’un niveau technique élevé.
EN : But we do more work with CN, they have more money.
FR : Mais on travaille plus avec la Chine, ils ont plus d’argent.
Un membre du gang partage une stratégie : cibler des pays aux budgets plus élevés, dont la Chine !
EN : Well, I wrote everything above, a security specialist made huge mistake.
FR : Bon, j’ai tout écrit plus haut, un spécialiste sécurité a fait une grosse erreur.
Soit une victime blâme son prestataire, soit LockBit décrit la faille exploitée.
L’art noir de la négociation : plongée dans la psychologie de LockBit
Ils se présentent comme des « hommes d’affaires » du numérique. Et pourtant, derrière le vernis professionnel, se cache une mécanique implacable : pression, manipulation, intimidation. Grâce à l’analyse d’échanges authentiques contenus dans une base SQL divulguée après le piratage du groupe LockBit, ZATAZ vous a décodé leur véritable jeu psychologique. Décryptage d’un théâtre de l’ombre.
Du rançonneur au prestataire : le masque de la crédibilité
Dès les premiers messages, LockBit endosse un rôle surprenant : celui du professionnel rationnel : « We will never cheat our customers. Promise will be kept. » À travers cette phrase, le groupe cherche à établir une relation de confiance. Le message est clair : payer n’est pas seulement utile, c’est « sûr ». On passe de la menace brute à la promesse de service.
La pression du temps : l’étau psychologique
Les victimes sont constamment poussées à agir vite : « What do you think, how long do you need for answer? I’m not stupid. » Les mots sont choisis. Pas de « menace », mais une pression ferme, calculée. L’objectif est de précipiter la décision, de court-circuiter la réflexion. Le stress devient l’allié du pirate.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
Culpabilisation et humiliation subtile
LockBit ne se contente pas d’exiger : il accuse. « You should protect the files. » Cette inversion psychologique transforme la victime en coupable. Elle aurait « mal fait » son travail, elle est donc partiellement responsable. Ce levier émotionnel renforce l’effet de domination du groupe.
Quand la façade se fissure : tensions internes et humanité
Parmi les messages retrouvés, certains ne sont clairement pas destinés aux victimes : « I hate that idiot Leo.” “Too many ID chat windows, I will establish communication again later. » Ces extraits révèlent un autre visage du gang : celui de l’organisation débordée, irritée, parfois désorganisée. On découvre des pirates humains, stressés, fatigués. La perfection du masque s’effrite.
Le rançonneur compatissant : un revirement maîtrisé
Lorsque la victime paie, tout change. « Everything is fine. We have received your advance. Decryption starts. » L’agresseur devient prestataire. Le ton se radoucit, le service devient « irréprochable ». L’objectif est d’afficher aux futures victimes que céder fonctionne. Créer un précédent, une jurisprudence criminelle. Bien entendu, payer ne vous sauvera pas !
Adaptation culturelle : le ciblage affiné
Certains messages témoignent d’une stratégie adaptée selon la cible : « We do more work with CN, they have more money. » Les réponses sont calibrées selon les pays, les secteurs, les comportements. Anglais simple, ton modéré, allusions économiques : chaque message est un tir trés étonnement ajusté.
LockBit ne se contente pas de coder des outils malveillants. Il orchestre une mise en scène calculée, où la victime est poussée dans ses retranchements émotionnels. Crainte, culpabilité, soulagement : tout y passe. Cette approche psychologique explique en grande partie l’efficacité du groupe. Et nous rappelle que, face aux ransomware, la meilleure défense reste encore l’anticipation : sauvegardes, procédures, sang-froid. Selon le Département de la Justice des États-Unis, le groupe LockBit aurait extorqué plus de 500 millions de dollars en paiements de rançon, avec des pertes totales, en tenant compte des coûts de récupération et des temps d’arrêt, s’élevant à plusieurs milliards. De plus, une opération internationale menée en février 2024 a permis la saisie de 200 comptes de cryptomonnaie liés à LockBit, renforçant les efforts pour perturber leurs activités financières.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
