Des pirates informatiques infiltrent le gang LockBit et divulguent près de 60 000 adresses Bitcoin.

Des milliers d'adresses Bitcoin liées à des paiements de rançons traités via le réseau de LockBit ont été exposées après que des pirates informatiques ont pénétré la base de données des affiliés du groupe.

Selon un rapport de Bleeping Computer, des pirates informatiques inconnus ont pénétré l'infrastructure du dark web de LockBit, défiguré ses panneaux d'affiliation et partagé publiquement un fichier exposant des données provenant des opérations internes du groupe.

La base de données MySQL divulguée semble inclure des années d'activité de rançongiciels, révélant des détails liés au système de gestion des affiliés de LockBit.

Parmi les découvertes les plus importantes figuraient près de 60 000 adresses de portefeuilles Bitcoin, que l’on pense liées aux paiements de rançons effectués par les victimes. Ces informations pourraient aider à retracer le cheminement des fonds de rançon à travers l’infrastructure de LockBit.

La violation a également été confirmée par un opérateur anonyme de LockBit, comme le suggère une conversation partagée par un utilisateur de X. Cependant, l'opérateur a confirmé qu'aucune clé privée n'avait été divulguée.

Les données divulguées comprenaient également des enregistrements des outils de rançongiciels créés par les affiliés de LockBit, des détails sur la manière dont des systèmes spécifiques ont été ciblés, et plus de 4 400 messages de négociation privés entre le groupe et ses victimes, couvrant la période de décembre 2024 à avril 2025.

On ignore encore qui a commis la violation et comment les auteurs ont accédé aux systèmes back-end de LockBit.

Cependant, les enquêteurs ont noté qu'un message de défiguration laissé sur place correspond à celui utilisé lors d'une récente intrusion sur le site du groupe de rançongiciels Everest, suggérant un lien possible entre les deux incidents.

Un message laissé par les attaquants de LockBit. Source : Bleeping Computer

Cette violation intervient après le démantèlement majeur de l'infrastructure de LockBit en février 2024 dans le cadre de l'opération Cronos, un effort coordonné du FBI, de la NCA, d'Europol et d'autres.

Lors de la perquisition, les autorités ont saisi 34 serveurs, 1 000 clés de déchiffrement et l’accès aux sites de fuite de LockBit, où ils menacent de publier les données volées des victimes.

Le gang a ensuite réussi à se reconstruire et à reprendre ses activités, mais ce dernier revers aggrave ses difficultés et ternit davantage sa réputation.

Qu'est-ce que le groupe de rançongiciels LockBit ?

LockBit figure parmi les groupes de rançongiciels en tant que service (RaaS) les plus prolifiques, connu pour cibler les grandes entreprises, les hôpitaux et les infrastructures critiques. Depuis son apparition en 2019, il aurait extorqué plus de 500 millions de dollars à plus de 2 500 victimes dans 120 pays.

Parmi les victimes ciblées par le groupe figurent Boeing, Royal Mail UK, ICBC et Capital Health. Le modèle du groupe permet aux affiliés de mener des attaques en utilisant les outils de LockBit, en partageant la rançon avec les développeurs.

En décembre 2024, les autorités américaines ont inculpé Rostislav Panev, un ressortissant russo-israélien, pour avoir prétendument travaillé comme développeur pour le groupe de rançongiciels LockBit. Il aurait gagné plus de 230 000 dollars en cryptomonnaie pour son rôle dans la création d'outils malveillants utilisés lors des attaques.

Deux autres ressortissants russes, Artur Sungatov et Ivan Kondratyev, ont également été inculpés aux États-Unis pour des attaques de rançongiciels contre des entités américaines.

Pendant ce temps, le chef présumé de LockBit, Dmitry Khoroshev, reste en fuite. Les États-Unis ont offert une récompense de 10 millions de dollars pour toute information menant à son arrestation.

L'industrie des cryptomonnaies sous attaque

Comme Invezz l'a précédemment rapporté, les piratages de cryptomonnaies au seul premier trimestre ont dépassé 1,6 milliard de dollars, ce qui en fait le pire trimestre jamais enregistré pour le secteur.

La majorité de ces pertes proviennent de deux attaques contre des plateformes d'échange centralisées, à savoir Bybit, qui a perdu 1,46 milliard de dollars, et Phemex, qui a été piratée pour 69,1 millions de dollars.

Bien que les plateformes DeFi n'aient représenté que 6 % des pertes du premier trimestre, le mois de mars a tout de même connu 20 incidents distincts, dont des exploits sur Abracadabra.money, Zoth et ZkLend, pour un total de plus de 33 millions de dollars.