Actualites

Ransomware : les comptes peu reluisants de LockBit 3.0

Les données extraites le 29 avril d’une interface d’administration de la franchise mafieuse fournissent un éclairage nouveau sur ses activités. Moins de 9 % des cyberattaques menées sous la bannière de LockBit ont donné lieu un à paiement de rançon.

Valéry Rieß-Marchive
par
Publié le: 12 mai 2025

Les données extraites le 29 avril d’une interface d’administration de l’enseigne de rançongiciel LockBit 3.0 contiennent les échanges liés à un peu moins de 210 cyberattaques conduites sous sa bannière, depuis la fin 2024.

Dans le lot, seules 18 contiennent des informations relatives à un versement de rançon effectivement survenu. Soit un taux de paiement de 8,6 %. C’est peu : historiquement, les grandes enseignes de ransomware parvenaient à atteindre un taux moyen autour de 27 %. Fin juin 2022, nous l’avions même estimé à 33 % sur le premier semestre de cette année-là, pour LockBit… 2.0. Il faut remonter à juin 2021 et au début de la fin de REvil pour trouver une grande enseigne mafieuse supporter un taux de paiement inférieur à 10 %.

Entre la fin 2024 et le 29 avril 2025, LockBit 3.0 et ses affidés ont réussi à soutirer environ 640 000 $ à leurs victimes, pour une rançon moyenne de 35 500 $. Seuls deux paiements ont dépassé la barre des 100 000 $, alors que 7 sont restés en-dessous de 10 000 $. A cela s’ajoutent 9 paiements entre ces deux seuils.

Christopher, chouchou de LockBitSupp ?

Un affidé de LockBit semble tirer particulièrement son épingle du jeu : Christopher. C’est le nom de son compte utilisateur dans l’interface d’administration. C’est lui qui a réussi à obtenir les trois plus importants paiements, de 96 000 $, 122 000 $, et 139 000 $. Mais c’est aussi lui qui en a obtenu un de 43 000 $, un autre de 42 000 $, ou encore un de 66 000 $.

Sur 18 paiements constatés, 9 sont en fait revenus à Christopher, pour un total de près de 560 000 $. Soit 87,5 % des gains de la franchise sur la période considérée. 

Mais cet affidé a produit des rançongiciels pour près de 40 victimes. Ce qui établit son taux de succès personnel à 22,5 %. Mieux que l’enseigne dans son ensemble, et donc le meilleur de tous ses affidés.

Surtout, Christopher présente un profil surprenant. À leur arrivée dans la franchise, les affidés paient un droit d’entrée. Une adresse Bitcoin est bien spécifiée pour Christopher, dans les données de LockBit, assortie d’un montant. Mais celui-ci n’a toujours pas été payé. 

Le crime ne paie pas si bien que ça…

En seconde place sur le podium des affidés, on trouve PiotrBond, avec deux rançons payées pour près de 16 000 $ et… 25 victimes. Soit un taux de succès inférieur à 10 %. La majorité de ses victimes étaient localisées dans la région Asie-Pacifique, notamment en Chine et à Taiwan. 

Le groupe HellCat, qui a récemment annoncé l’arrêt de ses activités et le transfert de son enseigne, comptait parmi les affidés de LockBit 3.0, depuis le 15 janvier, sous le pseudonyme KoreyAllen. Peu actif sous cette bannière, il n’a produit de ransomware que pour 5 victimes, dont une en France deux jours après son arrivée dans les rangs de la franchise mafieuse. Nous ne lui avons pas trouvé la trace d’un seul paiement dans les données de LockBit.

L’un des membres du groupe nous a indiqué qu’il ne s’agissait majoritairement que de tests, après lesquels « le compte a été fourni à chercheur. Il n’y a pas eu de réel déploiement. J’ai eu accès gratuitement ».

Ces constatations sont cohérentes avec les révélations de l’opération Cronos montrant que les opérations de cyber-extorsion ne paient pas aussi bien qu’il serait tentant de l’imaginer, et ne profitent finalement qu’à un nombre d’acteurs bien plus restreint que celui de ceux qui s’y essaient. 

Pour approfondir sur Menaces, Ransomwares, DDoS