Ransomware : comment LockBit met en scène son retour
Sous sa nouvelle bannière LockBit 5.0, l’enseigne a publié plus d’une centaine de revendications courant décembre 2025. La majorité d’entre elles constituent du recyclage. Mais certaines revendications concernent des attaques toutes récentes.
Tout commence le 7 décembre. Ce jour-là, 40 victimes font leur apparition sur le site vitrine de LockBit 5.0, la nouvelle itération de l’indécrochable LockBit. Et rebelote le 26 décembre avec un gros lot de 54 revendications, après 9 autres une semaine plus tôt.
Au total, plus de 110 revendications sont apparues sur la vitrine de LockBit 5.0 en décembre 2025. Impressionnant ? Pas tant que ça. Près de quarante revendications concernent des organisations précédemment découvertes à l’occasion de la fuite de données de LockBit 3.0 fin avril dernier. Rien de bien neuf, donc. Quelques revendications étaient même déjà survenues sous la bannière précédente de LockBit 3.0, fin 2024.
À cela s’ajoutent des victimes qui ont été revendiquées antérieurement sous d’autres enseignes, comme Qilin, TheGentlement, Weyhro, voire RansomHub et RALord. En fait, seules 48 revendications apparaissent effectivement inédites.
Alors, un coup de bluff ? Vraisemblablement pas. Nous disposons d’au moins une victime récente confirmée : Milano Ristorazione.
Cette entreprise, qui gère notamment la restauration scolaire pour la ville de Milan, s’est dit victime d’une violation de son système informatique avec un logiciel malveillant, fin novembre 2025. Une cyberattaque contre Milano Ristorazione a été publiée sur le site vitrine de LockBit 5.0 le 7 décembre.
En outre, les revendications relatives à trois victimes, publiées le mois dernier, ont été retirées du site vitrine, suggérant la possible survenue d’un versement de rançon.
Mais il y a plus. Cette importante série de revendications concentrées dans le temps peut donner l’impression d’un retour en force brutale. Les données déjà divulguées et attribuées à ces victimes inédites suggèrent tout le contraire.
Nous avons examiné les listes de fichiers associées à une petite vingtaine de revendications inédites publiées en décembre. Parmi celles pour lesquelles nous avons pu établir une estimation avec un niveau de confiance élevé, deux renvoient à des incidents vraisemblablement survenus en août 2025, 6 en septembre, autant en octobre, et 4 en novembre.
L’impression de reprise tonitruante de l’activité de LockBit en fin d’année dernière apparaît donc bien éloignée de la réalité.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
LockBit : quatre arrestations dans le cadre de l’opération Cronos
Par: Valéry Rieß-Marchive
-
![]()
Réserve fédérale américaine : la revendication de LockBit 3.0 fait pschitt
Par: Alexander Culafi
-
![]()
Ransomware : un mois de mai aux chiffres indûment gonflés par LockBit
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : nouvelle bataille de communication entre LockBit et les autorités
Par: Valéry Rieß-Marchive
