Le groupe de ransomware LockBit, géant du cybercrime, vient de subir une attaque dévastatrice. Ses sites sur le darkweb ont été piratés et ses données internes exposées, un revers majeur pour l'organisation qui semblait indestructible.

LockBit, l'un des groupes de ransomware les plus redoutés au monde, s'est fait prendre à son propre jeu. Depuis le 7 mai, leurs domaines sur le darkweb affichent un message narquois, « Don't do crime CRIME IS BAD xoxo from Prague », que l'on pourrait traduire par Ne commettez pas de crime, le crime est mauvais, bisous de Prague. Car ceux qui ont attaqué LockBit ont également diffusé plus de 100 000 lignes de données opérationnelles sensibles du réseau.
Le géant du ransomware LockBit tombe dans son propre piège
La réputation d'invulnérabilité de LockBit, revenu d'entre les morts à plusieurs reprises, vient d'en prendre un coup. Le groupe, actif depuis 2019, avait déjà survécu à une opération d'envergure des forces de l'ordre début 2024.
À l'époque, il avait défié les autorités en disant « ne pas pouvoir être arrêté », avant de vite reprendre ses activités. Mais cette fois, la nouvelle brèche est comparable à une faille de sécurité catastrophique pour une organisation qui avait bâti sa réputation sur sa sophistication technique.
L'ampleur de la fuite est, il faut le dire, impressionnante. Plus de 59 000 adresses Bitcoin liées aux rançons, des logs de conversations avec les victimes, les clés API de leur infrastructure, des configurations techniques de leur malware et même 76 comptes d'opérateurs avec identifiants et mots de passe, font partie de la brèche. On peut parler de trésor pour les enquêteurs, et de cauchemar pour les cybercriminels, qui croyaient opérer dans l'ombre.
Plusieurs spécialistes cyber, comme Christiaan Beek, ont confirmé l'authenticité de la fuite, affirmant même que les informations ont déjà été partagées sur Telegram. Ce dernier révèle d'ailleurs un détail frappant : LockBit « attaque tout le monde » d'après les données étudiées, même les petites entreprises pour des paiements modestes. Un comble pour une organisation qui avait fait de l'exploitation des failles de sécurité des autres sa marque de fabrique.

Comment la fuite de données de LockBit pourrait faire de ses victimes des gagnants
Cette attaque pourrait être une vraie opportunité pour quiconque lutte contre les ransomwares. Pour les agences de police du monde entier, c'est une occasion inespérée de cartographier l'organisation. Les adresses Bitcoin exposées pourraient permettre de tracer les flux financiers et potentiellement d'identifier les véritables identités derrière l'opération. Les chercheurs en sécurité analysent déjà activement ces données pour en extraire des renseignements plus spécifiques.
Pour ce qui est des victimes passées de LockBit, la fuite représente un espoir. Certaines organisations ciblées pourraient trouver dans les données divulguées des informations précieuses, par exemple des clés de déchiffrement ou des indications qui permettraient de récupérer les données sans payer de rançon.
Fait intriguant chez les experts cyber, le groupe de hackers Everest avait subi une attaque identique en avril 2025, avec exactement le même message. Est-ce une coïncidence ? S'agit-il d'un rival, d'un justicier, ou d'une manœuvre des forces de l'ordre ? L'origine reste mystérieuse et les informations officielles manquantes, mais ce qui est certain, c'est que LockBit a reçu un terrible coup cette semaine.