LockBit, un ransomware redoutable ciblant les entreprises
Origine et historique de LockBit
Apparu pour la première fois en 2019, LockBit est un ransomware de type « RaaS » (Ransomware as a Service). Cela signifie que ses créateurs mettent l’outil à disposition d’autres cybercriminels, appelés « affiliés », qui l’utilisent pour mener des attaques en échange d’un pourcentage sur les rançons versées.
Depuis sa création, LockBit s’est rapidement imposé comme l’un des ransomwares les plus actifs et dangereux au monde, ciblant spécifiquement les organisations professionnelles.
Les versions successives de LockBit
LockBit a connu plusieurs évolutions techniques majeures, chaque version renforçant sa rapidité de chiffrement, sa furtivité et sa capacité de propagation :
LockBit 2.0 (Red) : arrivé en 2021, plus sophistiqué.
LockBit 3.0 (Black) : en 2022, introduit une personnalisation poussée et des menaces de « double extorsion » (vol + chiffrement de données).
LockBit Green (2023) : intègre des fonctionnalités de ransomware rival pour améliorer ses capacités.
Depuis sa création, LockBit s’est rapidement imposé comme l’un des ransomwares les plus actifs et dangereux au monde, ciblant spécifiquement les organisations professionnelles.
Pourquoi LockBit est une menace spécifique pour les PME ?
Les PME sont souvent moins bien protégées que les grandes entreprises, ce qui en fait des cibles idéales pour les groupes utilisant LockBit. Elles disposent pourtant de données sensibles (clients, finances, brevets, etc.) qui représentent une valeur marchande élevée pour les cybercriminels.
Comment fonctionne le ransomware LockBit ?
Le mode opératoire d’une attaque LockBit
Les attaques commencent généralement par une compromission initiale :
hameçonnage (phishing)
vulnérabilité logicielle
identifiants volés via le dark web
Une fois infiltré, le ransomware :
Se propage discrètement sur le réseau,
Désactive les logiciels de sécurité,
Chiffre tous les fichiers accessibles,
Affiche une note de rançon avec instructions de paiement en cryptomonnaie.
Les techniques de propagation utilisées
LockBit utilise des techniques comme :
l’exploitation de vulnérabilités connues (ex. : RDP, VPN)
des scripts automatisés pour se répliquer
le déplacement latéral sur le réseau de l’entreprise pour infecter un maximum de systèmes.
Ce que fait LockBit une fois installé dans le système
Le ransomware chiffre les fichiers en quelques minutes à peine, les renomme avec une extension spécifique, et empêche toute récupération sans la clé privée. Il menace aussi de publier les données si la rançon n’est pas payée, ajoutant une pression supplémentaire sur la victime.
Comment reconnaître une infection par LockBit ?
Signes visibles sur les postes de travail
Fichiers renommés ou inaccessibles
Messages d’erreur inhabituels
Note de rançon affichée au démarrage
Messages de rançon typiques de LockBit
Le fichier de rançon, souvent nommé « Restore-My-Files.txt », contient :
Un lien vers un site de négociation sur le dark web
Un identifiant personnel
Un délai pour payer avant la publication des données
Comportements anormaux du système
- Ralentissements soudains
- Accès réseau inhabituellement lent
- Connexions inconnues détectées
Protéger son entreprise contre LockBit : les bonnes pratiques ?
Mise à jour des systèmes et contrôle des accès
Corrigez toutes les failles connues en mettant à jour vos logiciels, OS, VPN et firewall. Activez l’authentification multifacteur (MFA) sur tous les accès distants.
Sensibilisation des collaborateurs
La formation régulière aux risques de phishing est essentielle. Un simple clic sur une pièce jointe malveillante peut compromettre tout le réseau.
Sauvegarde régulière selon la règle 3-2-1
Appliquez la règle de sauvegarde 3-2-1 :
3 copies de vos données
sur 2 supports différents
dont 1 copie hors site (cloud sécurisé, serveur externalisé)
Cela permet de restaurer vos données sans payer la rançon.
Accompagnement par un prestataire expert en cybersécurité
Faire appel à un prestataire comme VDI Telecom permet d’accéder à :
un audit complet de sécurité
des solutions de protection avancées
une gestion proactive des incidents
Les autres ransomwares qui peuvent vous menacer
VDI Telecom : votre rempart contre les ransomwares comme LockBit
Des solutions de cybersécurité sur mesure
VDI Telecom propose aux PME :
Pare-feu nouvelle génération
Solutions EDR/antivirus centralisées
Surveillance de vulnérabilités
Infogérance et externalisation de votre DSSI
VDI Telecom peut agir comme votre DSSI externalisé, en prenant en charge la cybersécurité, les sauvegardes, l’hébergement cloud et le support technique, pour un système d’information résilient et maîtrisé.
