Ransomware : LockBit 3.0 commence à être utilisé dans des
cyberattaques
By Valéry Rieß-Marchive
Published: 2022-05-06 · Archived: 2026-04-06 01:24:35 UTC
par
Valéry Rieß-Marchive, Rédacteur en chef
Publié le: 06 mai 2022
C’est l’une de ces notes déposées à l’issue du chiffrement d’un système attaqué qui nous a mis la puce à l’oreille.
Sa première ligne est sans ambiguïté : « LockBit 3.0 le ransomware le plus rapide au monde depuis 2019 ». Cette
mention est une première : avec les plus récents échantillons de LockBit que nous avons pu identifier à ce jour, la
note commence par le plus prosaïque « LockBit 2.0 Ransomware ».
La note dont nous avons obtenu une copie présente d’autres spécificités. Là, il n’y a pas une adresse d’onion de
site vitrine comme d’habitude, mais la liste de toutes les adresses miroirs. Un site Web accessible sans passer par
Tor est également précisé, mais celui-ci ne semble plus utilisable depuis la fin mars.
Autre nouveauté, les cyberdélinquants invitent directement à travailler pour leur compte. « Voulez-vous gagner
des millions de dollars ? », commence ainsi un paragraphe de la note de demande de rançon : « notre entreprise
[sic] acquiert des accès aux réseaux de diverses entreprises, ainsi que des informations de sachants internes qui
peuvent nous aider à voler les données les plus précieuses de n’importe quelle entreprise ». Que cherchent-ils ?
Par exemple, les identifiants permettant de se connecter à des services de déport d’affichage (RDP), « VPN,
courrier électronique d’entreprise, etc. ».
https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques
Page 1 of 5

LeMagIT
Note de rançon de LockBit 3.0.
La version 3.0 de LockBit a initialement été évoquée mi-mars, sur un forum fréquenté par les cyberdélinquants et,
notamment, les opérateurs de la franchise de rançongiciel LockBit. La discussion portait sur des bogues détaillés
par Microsoft dans le maliciel de chiffrement, et susceptibles d’endommager les fichiers MSSQL.
LeMagIT
Les cyber-délinquants appellent à des complicités internes.
Les opérateurs de la franchise ont rejeté la faute sur « certains des processus contrôlant la base de données
MSSQL » que leur logiciel de chiffrement ne parvient pas à interrompre. D’où la corruption des fichiers
correspondants. En réponse à cela, LockBit 3.0 doit permettre à l’assaillant le déployant « de préciser la liste de
processus » à arrêter, manuellement, lors de la création du ransomware.
https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques
Page 2 of 5

LeMagIT
Première évocation de LockBit 3.0.
Quelques jours plus tard, les opérateurs de la franchise LockBit indiquaient à vx-underground que LockBit 3.0
pourrait être prêt d’ici « une à deux semaines ». Fin avril, ils expliquaient chercher des « béta testeurs ». À moins
qu’ils n’utilisent des victimes bien réelles pour des tests, ceux-ci semblent aujourd’hui terminés.
Pour approfondir sur Menaces, Ransomwares, DDoS
Ransomware : 2024, l’année Cronos
Par: Valéry Rieß-Marchive
https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques
Page 3 of 5

LockBit : quatre arrestations dans le cadre de l’opération Cronos
Par: Valéry Rieß-Marchive
Opération Cronos, exit-scam Alphv : lequel a le plus affecté l’écosystème ransomware ?
https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques
Page 4 of 5

Par: Valéry Rieß-Marchive
Ransomware : un mois de mai aux chiffres indûment gonflés par LockBit
Par: Valéry Rieß-Marchive
Source: https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques
https://www.lemagit.fr/actualites/252516821/Ransomware-LockBit-30-commence-a-etre-utilise-dans-des-cyberattaques
Page 5 of 5