Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
20 février 2024

La NCA britannique, le DOJ américain, le FBI et Europol perturbent le groupe Lockbit Rançonlogiciel

Perspectives TRMPerspectives
La NCA britannique, le DOJ américain, le FBI et Europol perturbent le groupe Lockbit Rançonlogiciel

La National Crime Agency (NCA) du Royaume-Uni, le Department of Justice DOJ Department of Justice États-Unis, le FBI et Europol ont annoncé aujourd'hui la perturbation du célèbre groupe Rançonlogiciel LockBit et le démantèlement de l'infrastructure de son site web.

LockBit est l'un des groupes de Rançonlogiciel les plus prolifiques au monde. Le groupe a eu un impact sans précédent sur les entreprises et les infrastructures critiques du monde entier, en utilisant un modèle de Rançonlogiciel(RaaS) pour mener des milliers d'attaques et extorquer aux victimes d'importants paiements de rançon en crypto-monnaie. Grâce à une analyse de la chaîne, TRM estime que les adresses contrôlées par les administrateurs de LockBit et ses affiliés ont reçu plus de 160 millions de livres sterling (ou 200 millions de dollars) en bitcoins depuis 2022, dont plus de 85 millions de livres sterling (ou 110 millions de dollars) n'ont pas encore été dépensés dans de multiples adresses de la chaîne. 

L'impact économique de LockBit 

Depuis janvier 2020, LockBit est la variante de Rançonlogiciel la plus déployée dans le monde, avec des affiliés ciblant des organisations de tailles diverses dans un éventail de secteurs d'infrastructures critiques, y compris les services financiers, l'alimentation et l'agriculture, l'éducation, l'énergie, les services gouvernementaux et d'urgence, les soins de santé, l'industrie manufacturière et les transports. Parmi les attaques notables de LockBit, on peut citer celles contre Entrust (juin 2022), l'Agence fiscale italienne (juillet 2022), Royal Mail (janvier 2023), IBM (mai 2023), Carthage Area Hospital & the Clayton-Hepburn Medical Center (septembre 2023), et Boeing (novembre 2023).

Le coût économique de ces attaques va bien au-delà du paiement initial de la rançon et inclut les pertes liées à l'interruption des opérations et à l'atteinte à la réputation. Le rapport Cost of a Data Breach Report 2023 d'IBM a estimé que le coût moyen d'une violation de données causée par une attaque de Rançonlogiciel , sans compter le paiement de la rançon, s'élève à 4,45 millions USD. LockBit a commis plus de 2000 attaques confirmées, ce qui laisse supposer que son impact économique pourrait dépasser les 8 milliards de dollars. 

LockBit est passé d'ABCD à LockBit Green.

LockBit est apparu en 2019 comme une évolution d'ABCD Rançonlogiciel. Ses versions ont évolué au fil des ans - de LockBit à LockBit 2.0, également connu sous le nom de LockBit Red, à LockBit 3.0, également connu sous le nom de LockBit Black, à LockBit Green, qui incorpore le code source de Conti Rançonlogiciel. Cette dernière variante propose un programme de récompense pour les bogues, des crypto-monnaies améliorant la confidentialité (par exemple Zcash) et de nouvelles méthodes d'extorsion, incorporant des stratégies issues des opérations BlackMatter et DarkSide Rançonlogiciel . Cette version, dotée de techniques anti-détection et d'une exécution sans mot de passe, a également introduit des attaques par déni de service afin d'étendre les capacités et les tactiques de LockBit pour extorquer les victimes.

LockBit a renforcé son impact grâce à des mesures d'incitation pour les affiliés 

Le modèle opérationnel de LockBit en tant que groupe RaaS a été un facteur clé de l'ampleur de l'impact et de la notoriété que le groupe a atteints. LockBit s'est distingué sur le marché RaaS par la manière dont il a incité ses affiliés à utiliser les outils et l'infrastructure de LockBit pour exécuter des attaques. Ces incitations ont consisté à s'assurer que les affiliés reçoivent d'abord leur part des paiements de rançon, à récompenser les activités promotionnelles et les critiques publiques des plateformes RaaS concurrentes, et à simplifier le déploiement du Rançonlogiciel grâce à des interfaces conviviales.

Tactiques, techniques et procédures (TTP) de LockBit

Les attaques de LockBit Rançonlogiciel impliquent généralement un accès initial par l'exploitation de vulnérabilités, l'hameçonnage ou le forçage brutal des protocoles de bureau à distance. Une fois à l'intérieur d'un réseau, les acteurs de LockBit ont utilisé des outils tels que PowerShell Empire, Cobalt Strike et PsExec pour effectuer des mouvements latéraux et préparer le chiffrement. Ils suppriment souvent les journaux afin d'empêcher la victime de se rétablir. Les acteurs de LockBit, ainsi que les souches de Rançonlogiciel comme Rorschach et Babuk, utilisent ensuite fréquemment une technique appelée chiffrement intermittent, ciblant uniquement des parties de fichiers pour des attaques plus rapides et plus efficaces. En réduisant la durée de la phase d'attaque visible, les attaquants améliorent leurs chances de succès face aux défenses de cybersécurité.

Après le chiffrement des données par LockBit, les auteurs de la menace demandent aux victimes de payer une rançon pour obtenir les clés de déchiffrement. Le groupe Rançonlogiciel exploite également un site de fuites où il publie des informations sur ses victimes. Ce site est utilisé dans le cadre d'une tactique de double extorsion : si une victime refuse de payer la rançon, LockBit menace de publier les données volées sur cette plateforme publique. Le site de fuite sert à faire pression sur les victimes pour qu'elles se conforment aux demandes de rançon en exposant des informations sensibles au public, augmentant ainsi les risques opérationnels et de réputation pour les organisations touchées.

LockBit a utilisé le bitcoin comme principale crypto-monnaie pour faciliter le paiement des rançons, mais avec l'évolution de LockBit 3.0, le groupe a introduit des options de paiement améliorées, telles que ZCash, pour collecter les fonds auprès des victimes et payer ses affiliés.

L'analyse en chaîne de l'activité de LockBit met en évidence la structure opérationnelle du groupe, où les paiements initiaux de rançon des victimes subissent une répartition financière : 80 % vont à l'affilié de LockBit, et 20 % aux administrateurs de LockBit. Les opérateurs de LockBit ont ensuite utilisé Wasabi 2.0 pour mélanger les fonds, ainsi que de multiples échanges non privatifs de liberté et des VASP centralisés aux États-Unis et en Asie pour blanchir les fonds des victimes.

Graphique TRM montrant les premiers paiements de rançon et la répartition financière 80/20 entre les affiliés et les administrateurs de LockBit.
‍TRMGraphique montrant le blanchiment d'un paiement de rançon de 13 millions de dollars par l'intermédiaire de plusieurs VASP
Graphique TRM montrant le blanchiment du produit d'une rançon à l'aide de multiples petits encaissements sur plusieurs VASP

Le rôle de l'Blockchain Intelligence dans la disruption du Rançonlogiciel 

La perturbation d'aujourd'hui s'inscrit dans la série de perturbations que les organismes chargés de l'application de la loi du monde entier ont jugées prioritaires, car le RaaS continue de représenter une menace pour les citoyens et les entreprises. Compte tenu de la nature en constante évolution de cette menace et de ses conséquences économiques, nous nous attendons à ce que l'accent continue d'être mis sur la perturbation des acteurs de la menace Rançonlogiciel . 

Si les groupes de Rançonlogiciel peuvent faire évoluer les TTP et les noms, la blockchain reste un grand livre immuable. Les outils de Blockchain Intelligence continueront à jouer un rôle clé pour permettre les saisies et arrêter les mauvais acteurs. 

TRM est fière de soutenir l'ANC et les organismes chargés de l'application de la loi dans le monde entier dans leurs efforts constants pour préserver l'intégrité de nos systèmes financiers.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
7 juillet 2023

Comment les groupes Rançonlogiciel s'appuient sur des données bon marché (volées) pour lancer des campagnes d'extorsion

flèche vers la droite
6 avril 2022

L'analyse de TRM corrobore les liens présumés entre les groupes Conti et Ryuk Rançonlogiciel et Wizard Spider

flèche vers la droite
14 mai 2021

La face cachée de l'argent Rançonlogiciel Payment

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT