{
	"id": "88194493-5f5b-4686-ab08-4ead79ffa97d",
	"created_at": "2026-04-06T01:30:48.72858Z",
	"updated_at": "2026-04-10T03:29:40.009263Z",
	"deleted_at": null,
	"sha1_hash": "3678d0654cb52b2f4b7320bd8267b0a774527528",
	"title": "Ransomware : LockBit 3.0 commence à être utilisé dans des cyberattaques",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 514077,
	"plain_text": "Ransomware : LockBit 3.0 commence à être utilisé dans des\r\ncyberattaques\r\nBy Valéry Rieß-Marchive\r\nPublished: 2022-05-06 · Archived: 2026-04-06 01:24:35 UTC\r\npar\r\nValéry Rieß-Marchive, Rédacteur en chef\r\nPublié le: 06 mai 2022\r\nC’est l’une de ces notes déposées à l’issue du chiffrement d’un système attaqué qui nous a mis la puce à l’oreille.\r\nSa première ligne est sans ambiguïté : « LockBit 3.0 le ransomware le plus rapide au monde depuis 2019 ». Cette\r\nmention est une première : avec les plus récents échantillons de LockBit que nous avons pu identifier à ce jour, la\r\nnote commence par le plus prosaïque « LockBit 2.0 Ransomware ».\r\nLa note dont nous avons obtenu une copie présente d’autres spécificités. Là, il n’y a pas une adresse d’onion de\r\nsite vitrine comme d’habitude, mais la liste de toutes les adresses miroirs. Un site Web accessible sans passer par\r\nTor est également précisé, mais celui-ci ne semble plus utilisable depuis la fin mars.\r\nAutre nouveauté, les cyberdélinquants invitent directement à travailler pour leur compte. « Voulez-vous gagner\r\ndes millions de dollars ? », commence ainsi un paragraphe de la note de demande de rançon : « notre entreprise\r\n[sic] acquiert des accès aux réseaux de diverses entreprises, ainsi que des informations de sachants internes qui\r\npeuvent nous aider à voler les données les plus précieuses de n’importe quelle entreprise ». Que cherchent-ils ?\r\nPar exemple, les identifiants permettant de se connecter à des services de déport d’affichage (RDP), « VPN,\r\ncourrier électronique d’entreprise, etc. ».\r\nhttps://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques\r\nPage 1 of 5\n\nLeMagIT\r\nNote de rançon de LockBit 3.0.\r\nLa version 3.0 de LockBit a initialement été évoquée mi-mars, sur un forum fréquenté par les cyberdélinquants et,\r\nnotamment, les opérateurs de la franchise de rançongiciel LockBit. La discussion portait sur des bogues détaillés\r\npar Microsoft dans le maliciel de chiffrement, et susceptibles d’endommager les fichiers MSSQL.\r\nLeMagIT\r\nLes cyber-délinquants appellent à des complicités internes.\r\nLes opérateurs de la franchise ont rejeté la faute sur « certains des processus contrôlant la base de données\r\nMSSQL » que leur logiciel de chiffrement ne parvient pas à interrompre. D’où la corruption des fichiers\r\ncorrespondants. En réponse à cela, LockBit 3.0 doit permettre à l’assaillant le déployant « de préciser la liste de\r\nprocessus » à arrêter, manuellement, lors de la création du ransomware.\r\nhttps://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques\r\nPage 2 of 5\n\nLeMagIT\r\nPremière évocation de LockBit 3.0.\r\nQuelques jours plus tard, les opérateurs de la franchise LockBit indiquaient à vx-underground que LockBit 3.0\r\npourrait être prêt d’ici « une à deux semaines ». Fin avril, ils expliquaient chercher des « béta testeurs ». À moins\r\nqu’ils n’utilisent des victimes bien réelles pour des tests, ceux-ci semblent aujourd’hui terminés.\r\nPour approfondir sur Menaces, Ransomwares, DDoS\r\nRansomware : 2024, l’année Cronos\r\nPar: Valéry Rieß-Marchive\r\nhttps://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques\r\nPage 3 of 5\n\nLockBit : quatre arrestations dans le cadre de l’opération Cronos\r\nPar: Valéry Rieß-Marchive\r\nOpération Cronos, exit-scam Alphv : lequel a le plus affecté l’écosystème ransomware ?\r\nhttps://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques\r\nPage 4 of 5\n\nPar: Valéry Rieß-Marchive\r\nRansomware : un mois de mai aux chiffres indûment gonflés par LockBit\r\nPar: Valéry Rieß-Marchive\r\nSource: https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques\r\nhttps://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques"
	],
	"report_names": [
		"Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques"
	],
	"threat_actors": [
		{
			"id": "0fc739cf-0b82-48bf-9f7d-398a200b59b5",
			"created_at": "2022-10-25T16:07:23.797925Z",
			"updated_at": "2026-04-10T02:00:04.752608Z",
			"deleted_at": null,
			"main_name": "LockBit Gang",
			"aliases": [
				"Bitwise Spider",
				"Operation Cronos"
			],
			"source_name": "ETDA:LockBit Gang",
			"tools": [
				"3AM",
				"ABCD Ransomware",
				"CrackMapExec",
				"EmPyre",
				"EmpireProject",
				"LockBit",
				"LockBit Black",
				"Mimikatz",
				"PowerShell Empire",
				"PsExec",
				"Syrphid"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "6e23ce43-e1ab-46e3-9f80-76fccf77682b",
			"created_at": "2022-10-25T16:07:23.303713Z",
			"updated_at": "2026-04-10T02:00:04.530417Z",
			"deleted_at": null,
			"main_name": "ALPHV",
			"aliases": [
				"ALPHV",
				"ALPHVM",
				"Ambitious Scorpius",
				"BlackCat Gang",
				"UNC4466"
			],
			"source_name": "ETDA:ALPHV",
			"tools": [
				"ALPHV",
				"ALPHVM",
				"BlackCat",
				"GO Simple Tunnel",
				"GOST",
				"Impacket",
				"LaZagne",
				"MEGAsync",
				"Mimikatz",
				"Munchkin",
				"Noberus",
				"PsExec",
				"Remcom",
				"RemoteCommandExecution",
				"WebBrowserPassView"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775439048,
	"ts_updated_at": 1775791780,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3678d0654cb52b2f4b7320bd8267b0a774527528.pdf",
		"text": "https://archive.orkl.eu/3678d0654cb52b2f4b7320bd8267b0a774527528.txt",
		"img": "https://archive.orkl.eu/3678d0654cb52b2f4b7320bd8267b0a774527528.jpg"
	}
}