LockBit
LockBit est un rançongiciel utilisé depuis 2019. Par extension, c'est aussi le nom du groupe de pirates qui l'exploite.
Créateur | Dmitry Yuryevitch Khoroshev, alias LockBitSupp |
---|---|
Première version | |
Type | Groupe de cybercriminels (d) |
Le groupe cybercriminel LockBit, formé en septembre 2019, se distingue par une structure et des critères de recrutement basés sur la réputation et les compétences techniques. LockBit est à l'origine de 1 700 attaques dans le monde depuis 2020. LockBit 3.0 a notamment attaqué de grandes entreprises stratégiques comme Thales, Continental et TSMC.
En février 2024, une opération de police internationale (« opération Cronos ») met un coup de frein aux opérations du groupe. Le 7 mai 2024, la National Crime Agency du Royaume-Uni (NCA), le FBI et Europol annonce avoir démasqué et sanctionné le leader de LockBit Dmitry Khoroshev, alias LockBitSupp. D'après les données récupérées dans les systèmes de LockBit : « entre juin 2022 et février 2024, plus de 7 000 attaques ont été organisées à l'aide de leurs services. Les cinq pays les plus touchés sont les États-Unis, le Royaume-Uni, la France, l'Allemagne et la Chine ».
Description
modifierLe logiciel malveillant Lockbit était auparavant connu sous le nom de ".abcd", d'après l'extension de fichier qui était ajoutée aux fichiers chiffrés lorsqu'ils étaient rendus inaccessibles[1].
Le développement de la version LockBit 2.0 date de 2021[2].
La version LockBit 3.0 date de mai 2022 et fonctionne en version Linux et Windows. Elle embarque un système intégré de communications entre le groupe et sa cible, avec des négociations rendues publiques. Comme beaucoup de rançongiciels, il est disponible dans une version RaaS « Ransomware as a service »[3]. Les membres du groupe procèdent habituellement à une double extorsion (exfiltration des données puis chiffrement de celles-ci), d'autres à une triple extorsion (attaque DDoS en plus). En complément de Lockbit 3.0, qui chiffre les données des serveurs, Stealbit procède à leur exfiltration[4].
En 2022, LockBit est le rançongiciel numéro un en nombre d'attaques revendiquées[5]. Fin 2022, il devient le rançongiciel le plus actif avec environ 200 attaques mensuelles issues de ses affiliés[6].
En septembre 2022, le code source du rançongiciel est dévoilé sur GitHub, probablement par un développeur en désaccord avec le groupe[7]. À la suite de cette divulgation du code source, de nombreux groupes de pirates se le sont appropriés et en ont tiré profit sans avoir à payer de droits au groupe LockBit. En août 2023, Kaspersky estime que près de 400 versions du rançongiciel sont désormais dans la nature[8].
En avril 2023, le groupe confirme au média Bleeping Computer qu'il travaille sur une version pour Mac[9].
Histoire du groupe cybercriminel
modifierDéveloppement du groupe
modifierIl est né le 3 septembre 2019.
Russophone, il revendique le fait que ses membres soient nés dans d'anciennes républiques soviétiques. De ce fait, il ne s'en prend pas aux intérêts russes, ni à ceux de pays de l'ex-URSS. Par extension et afin d'avoir la paix avec le pouvoir russe en place, ses alliés sont laissés tranquilles. C'est pourquoi l'attaque de mai 2023 contre un journal chinois apparaît comme singulière[10],[11]. Comparé à ses concurrents, le groupe LockBit apparaît comme beaucoup mieux organisé, imitant la structure des startups. Au sein du programme destiné à ses affiliés, le groupe LockBit va jusqu'à préciser les cibles à éviter afin de ne pas s'attirer les foudres des forces de l'ordre : les secteurs de la santé, de l'éducation et du pétrole[5].
Il recrute ses affiliés sur un forum, en fonction de leur réputation et leur demande le versement d'une sorte de droit d'entrée en bitcoins. Les compétences techniques et les antécédents dans le domaine du hacking sont également vérifiés. Par ailleurs, dans le but d'améliorer son logiciel et de ne pas être attaqué, le groupe a ouvert un bug bounty permettant de rémunérer les découvreurs de failles de sécurité dans l'architecture de Lockbit 3.0[3],[5],[12].
Le 21 septembre 2022, un membre du groupe, mécontent, décide de publier sur internet (via un message Twitter) le code source de LockBit 3.0. À la suite de cette fuite, un groupe de pirates concurrents va se former : Bl00dy. L'attaque de Thales opérée en novembre 2022 sera comme une forme de renaissance à la suite de la publication du code de leur rançongiciel[13].
En octobre 2022, la police canadienne arrête un ressortissant russo-canadien de 33 ans, Mikhail Vasiliev, soupçonné d'être un acteur majeur du groupe LockBit. L'étude du matériel saisi montre que ce hacker aurait été impliqué dans plus d'une centaine d'affaires en France, et lié à plusieurs groupes de pirates (Lockbit mais aussi Blackcat, Ragnarlocker, Darkside et d'autres)[14],[15]. Mikhail Vasiliev est jugé par un tribunal de l'Ontario (Canada) en mars 2024, où il est condamné à une peine de 4 ans de prison et 860 000 dollars canadiens d'amende[16]. Mais ce n'est que le début d'un périple qui doit mener Mikhail Vasiliev aux États-Unis dans l'état du New Jersey, puis en France[17].
En mai 2023, le FBI offre une récompense de 10 millions de dollars pour toute information sur Mikhail Pavlovich Matveev (connu sous le pseudonyme de « Wazawaka »). Selon le FBI, il serait un membre actif du cybercrime et participerait au développement et à l'évolution des rançongiciels[18].
En juin 2023, sept agences internationales de cyber-sécurité (France, Nouvelle-Zélande, États-Unis, Royaume-Uni, Canada, Allemagne, Australie) mutualisent leurs efforts pour faire front commun contre le groupe : elles publient un mode d'emploi à destination des entreprises afin qu'elles se protégent de ce rançongiciel[19].
Le la police américaine arrête, en Arizona, un ressortissant russe originaire de Tchétchénie : Ruslan Magomedovich Astamirov (20 ans), soupçonné d'appartenir au collectif LockBit et d'avoir participé à des attaques au rançongiciel entre 2020 et 2023[20].
Opération Cronos
modifierLe 20 février 2024, Europol et la National Crime Agency ont coordonné une opération mondiale destinée à mettre fin aux activités du groupe. Il s'agit d'une opération de longue haleine (commencée en 2022 avec Eurojust), à la demande des autorités françaises. Deux membres du gang sont arrêtés en Pologne et en Ukraine alors que les autorités judiciaires françaises et américaines ont émis trois mandats d'arrêt internationaux et cinq actes d'accusation[21],[22].
Cette opération permet le démantèlement de 34 serveurs et la saisie de plus de 1 000 clés de déchiffrement dans de nombreux pays européens, aux États-Unis et jusqu'en Australie. La saisie de ces clés a permis le développement d'un outil de déchiffrement gratuit, mis à disposition du public via le portail No more ransom. Par ailleurs, près de 200 portefeuilles de crypto-monnaie ont été saisis, ce qui permet d'envisager un dédommagement éventuel des victimes de ce rançongiciel. La saisie des serveurs a permis de mettre la main sur le code source du rançongiciel, les données volées aux victimes et la liste de celles-ci. D'autre part, cette saisie a également permis de comprendre l'infrastructure de gestion des affiliés, de divers partenaires et de saisir des sites dans le dark web (« Onionland »)[21],[22]. Ce « coup de filet » a aussi montré que les développeurs de LockBit étaient en train de construire une version nouvelle de leur système malveillant de cryptage de fichiers, « baptisée LockBit-NG-Dev - susceptible de devenir LockBit 4.0 ». Selon la NCA, le groupe LockBit comptait en 2024 au moins 188 « affiliés »[23]. La société de sécurité Trend Micro a publié une analyse technique approfondie du code source de ce malware, analyse qui en révèle les paramètres de configuration complets[23]. Les données récupérées dans les systèmes de LockBit par les enquêteurs montrent qu'« entre juin 2022 et février 2024, plus de 7 000 attaques ont été organisées à l'aide de leurs services. Les cinq pays les plus touchés sont les États-Unis, le Royaume-Uni, la France, l'Allemagne et la Chine »[24].
Les dirigeants du groupe sont toujours en liberté, et ils disposent probablement de serveurs de sauvegarde ; mais l'opération Cronos a mis un sérieux frein à leurs activités illégales[21],[22]. Pour capturer le chef du groupe, dit LockBitSupp, le FBI propose, dans le cadre du programme TOCRP (Transnational Organised Crime Rewards Programme), 15 millions de dollars pour toute information menant à sa capture[25]. LockBit pourrait tenter de se reconstituer (au 22 février 2024, Ars Technica note que le ransomware LockBit continuait de se propager)[26],[23]. Mais les agences internationales annoncent qu'elles resteront « vigilantes » et ne « cesseront pas leurs efforts pour cibler ce groupe et ses associés »[27].
LockBit Black Ransomware Campaign
modifierPour se remettre de l'opération Cronos, LockBit lance, en avril 2024, une opération de phishing nommée LockBit Black Ransomware Campaign. LockBit mobilise les ressources du botnet Phorpiex pour diffuser des emails qui serviront eux-mêmes à diffuser des logiciels malveillants qui permettront d'obtenir des informations utilisables pour les prochaines campagnes de rançongiciel. Cette opération a été découverte par la New Jersey Cybersecurity and Communications Integration Cell (en)[28],[29].
Identité du chef de gang
modifierLe 7 mai 2024, le FBI, la NCA et Europol annoncent avoir démasqué et sanctionné le leader de LockBit et révèlent son identité. Il s'agit de Dmitry Yuryevitch Khoroshev (Дмитрий Юрьевич Хорошев), alias LockBitSupp ou putinkrab, « qui prospérait grâce à l'anonymat et offrait une récompense de 10 millions de dollars à quiconque pourrait révéler son identité », tant il était certain de pouvoir préserver son anonymat. Il occupe les fonctions de créateur, développeur et administrateur du groupe LockBit. Il est alors soumis à une série de gels d'avoirs et à des interdictions de voyager [24]. De son côté, la justice américaine a promis une récompense pouvant atteindre 10 millions de dollars « pour toute information conduisant à son arrestation et/ou sa condamnation »[30],[31],[32],[33],[34],[35].
2024
modifierDans une opération concertée entre plusieurs services de police européens, un membre de LockBit a été arrêté en France, deux personnes au Royaume-Uni et une en Espagne. Neufs serveurs ont, par ailleurs, été saisis[36].
Principales attaques
modifierSelon les pays, LockBit est responsable d'entre 16 % et 27 % des attaques par rançongiciel en fonction du pays. Depuis 2020, LockBit représente 1 700 attaques dans le monde. En France le groupe est à l'origine de 69 piratages en 2022 et 2023[19]. Selon le gouvernement britannique, entre juin 2022 et février 2024 le groupe totalise 7 000 attaques et 1 milliard de dollars de rançons extorquées[33].
En 2022
modifierEn janvier 2022, le groupe d'électronique Thales figure parmi les victimes de Lockbit 2.0[37].
En juillet 2022, les services administratifs et de gestion de La Poste Mobile sont attaqués[5].
En septembre 2022, l'hôpital de Corbeil Essonnes est visé avec une demande de rançon de 10 millions de dollars[38].
Le 14 septembre 2022, les pirates du groupe revendiquent des cyberattaques contre 28 organismes, dont 12 concerneraient des organismes français[39].
En octobre 2022, le groupe Lockbit revendique l'attaque de Pendragon PLC (en), un groupe de revendeurs automobiles au Royaume-Uni. Le montant de la rançon pour déchiffrer les fichiers et ne pas révéler leur contenu est de 60 millions de dollars[40].
Le 31 octobre 2022, le groupe de pirates revendique avoir attaqué pour la deuxième fois le groupe Thales. Lockbit ne demande pas de rançon mais affiche un décompte se terminant le 7 novembre, date à laquelle les données seront publiées. Ils proposent leur assistance aux clients de Thales qui seraient affectés par ce vol, afin qu'ils puissent porter plainte contre Thales, un groupe « qui a grandement négligé les règles de confidentialité »[41]. Le 10 novembre 2022, le groupe LockBit 3.0 publie les informations volées sur le darknet. L'archive de 9,5 Go contient des informations relatives aux contrats de Thales en Italie et en Malaisie[42],[43].
En août 2022, l'équipementier allemand Continental subit une attaque du groupe LockBit 3.0. En novembre 2022, sans réponse à sa demande de rançon, le groupe publie une partie des données volées et propose l'accès à la totalité des données pour 50 millions d'euros. Parmi les données piratées, on trouve la vie privée des salariés du groupe, mais aussi les échanges avec les constructeurs automobiles allemands. Au-delà du vol de données, le danger est d'ouvrir la voie à l'espionnage industriel. En effet parmi les échanges avec Volkswagen, on trouve les aspects informatiques sur lesquels Volkswagen souhaitait que Continental s'investisse : de la conduite automatisée au divertissement[44].
En novembre 2022, l'OEHC — Office d'Équipement Hydraulique de Corse — est victime d'une cyberattaque avec chiffrement de ses données. Une demande de rançon est effectuée par le groupe de pirates, restée sans réponse de la part de l'OEHC[45].
En décembre 2022, Lockbit revendique le vol de 246 000 fichiers d'un volume total de 75,3 Go, lors d'une attaque de l'administration des finances de Californie. Le bureau du gouverneur reconnaît être victime d'une attaque sans en préciser l'importance[46].
En décembre 2022, ils revendiquent l'attaque de l'administration du port de Lisbonne. Le montant de la rançon est de 1,5 million de dollars à payer avant le 18 janvier 2023[47].
Le 18 décembre 2022, ils s'en prennent à l'hôpital pour enfants SikKids de Toronto. Après s'être aperçu de sa bévue, le groupe arrête l'attaque, s'excuse et propose gratuitement la solution pour récupérer les fichiers chiffrés[48].
En 2023
modifierEn janvier 2023, le groupe revendique avoir attaqué l'entreprise de luxe Nuxe[49].
En janvier 2023, ils revendiquent l'attaque de Royal Mail ; les activités internationales de l'opérateur britannique sont touchées[50],[51].
En janvier 2023 le groupe Elsan (groupe de cliniques privées) fait l'objet d'une cyberattaque de la part de Lockbit. Le groupe a subtilisé 821 Go de données au siège de l'entreprise[52].
En février 2023, le groupe revendique l'attaque de la chaîne de librairies canadiennes Indigo Books and Music[53] et en mars, l'attaque du groupe BRL, un spécialiste de l'eau de la région Occitanie[54].
En mars 2023, Lockbit pirate les systèmes de Maximum Industries, une entreprise qui fabrique des pièces pour SpaceX[51].
Le 16 mai 2023, c'est l'attaque de la branche hongkongaise du journal chinois China Daily. C'est la première fois qu'il s'en prend à une entreprise liée au pouvoir chinois. De la même façon que Lockbit ne s'attaque pas au pouvoir russe, il évite de s'attaquer à ses alliés[10].
En mai 2023, le groupe revendique l'attaque de Voyageurs du monde à qui ils volent quelques 10 000 documents d'identité provenant des dossiers clients de l'entreprise[55].
Fin juin 2023, le groupe TSMC est victime d'une attaque au rançongiciel par l'intermédiaire d'un de ses fournisseurs. La rançon demandée par LockBit est de 70 millions de dollars[56].
En septembre 2023, les serveurs de Zaun, une société britannique qui fournit des services de cybersécurité, notamment aux agences gouvernementales est attaquée. Des données sur les installations militaires et les prisons de haute sécurité au Royaume-Uni sont publiées sur le dark web[51].
En octobre 2023, c'est le groupe Boeing qui est victime d'une attaque. Selon Boeing, c'est l'activité de pièces détachées qui a été visée[57]. Faute d'un accord avec l'avionneur, le groupe publie la totalité des données extorquées (500 Go) le 10 novembre 2023[58].
En novembre 2023, ils s'en prennent à la filiale américaine de la banque chinoise ICBC, première banque du monde en termes d'actifs[51]. Le marché des bons du Trésor américain a été perturbé par cette attaque et les transactions de l'ICBC rendues impossibles. Selon des sources américaines, le responsable de l'attaque serait le groupe LockBit sans que l'on sache s'il s'agit du groupe lui-même ou de l'un de ses affiliés[59]. Normalement le groupe ne s'en prenant pas aux alliés de Moscou, afin de préserver de bonnes relations diplomatiques, cette attaque est très particulière et n'est pas référencée sur leur site sur le darknet[60].
Le 6 novembre 2023, le département du Loiret est touché par le rançongiciel LockBit. Le groupe donne 12 jours au département pour payer la rançon. De nombreux services ont été affectés (le réseau informatique du SDIS (Service départemental d'incendie et de secours), les collèges (notamment les impressions) et le conseil départemental du Loiret), une plainte à également été déposée[61].
En 2024
modifierLe groupe de pirates revendique l'attaque de la chaîne de restaurants Subway en janvier 2024. LockBit aurait exfiltré des centaines de Go de données. Subway n'a pas confirmé l'attaque[62].
Le groupe revendique, en janvier 2024, l'attaque de Foxsemicon, filiale de Foxconn. Outre le siphonnage des données, LockBit a défacé la page d'accueil de la cible avec un message explicite informant le visiteur du piratage de l'entreprise. Il s'agit là d'un nouveau mode d'action expérimenté par LockBit[63].
En avril 2024, après l'opération Cronos, le groupe tente un retour avec l'attaque de l'hôpital de Cannes. Le paiement de la rançon ayant été refusé par l'hôpital, les données (61 Go) sont mises en ligne par le groupe de hackers sur le dark web le . Il s'agit aussi pour le groupe d'une opération de communication à l'égard de ses affiliés afin de leur prouver que le groupe Lockbit n'est pas mort[64].
En 2024, le groupe cybercriminel CosmicBeetle s'attaque à des PME européennes ou asiatiques et usurpe l'identité du groupe LockBit dès la phase de négociations. Ils revendiquent leurs opérations avec un site sur le dark web qui se veut appartenir au groupe Lockbit[65].
Poursuites judiciaires
modifierEn novembre 2022, une plainte pénale est déposée dans le district du New Jersey accusant Mikhail Vasiliev en lien avec sa participation au groupe de rançongiciels LockBit. Mikhail Vasiliev, qui a la double nationalité russe et canadienne, est actuellement détenu au Canada en attendant son extradition vers les États-Unis[35],[66].
En mai 2023, deux actes d'accusation sont rendus publics à Washington D.C., et dans le district du New Jersey, accusant Mikhail Pavlovich Matveev, également connu sous les noms de « Wazawaka », « m1x », « Boriselcin » et « Uhodiransomwar », d'avoir utilisé différentes variantes de ransomware, dont LockBit[35],[66].
En juin 2023, une plainte pénale est déposée dans le district du New Jersey contre Ruslan Magomedovich Astamirov, un ressortissant russe, en lien avec sa participation au groupe LockBit. Astamirov est actuellement en détention dans l'attente de son procès[35],[66].
En février 2024, un acte d'accusation est rendu public dans le district du New Jersey, accusant les ressortissants russes Artur Sungatov et Ivan Kondratyev, également connu sous le nom de « Bassterlord », d'avoir déployé LockBit[35],[66].
En mai 2024, Dimitri Iourievitch Khorochev, également connu sous le nom de « LockBitSupp », « LockBit », et « putinkrab », âgé de 31 ans, originaire de Voronej, en Russie, est inculpé par un acte d'accusation de 26 chefs d'accusation renvoyé par un grand jury du district du New Jersey[35],[67].
Le mai 2024, des sanctions contre Dmitry Khoroshev (administrateur et développeur de LockBit), sont annoncées par le FCDO en collaboration avec l'Office of Foreign Assets Control (OFAC) du département américain du Trésor et le ministère australien des Affaires étrangères.
Notes et références
modifierRéférences
modifier- (en-GB) Dan Milmo et Dan Milmo Global technology editor, « What is LockBit ransomware and how does it operate? », The Guardian, (ISSN 0261-3077, lire en ligne, consulté le ).
- (en) « LockBit 2.0 Ransomware: An In-Depth Look at Lockfile & LockBit », sur Avertium (consulté le ).
- Valéry Rieß-Marchive, « Victimes de LockBit 3.0 : attention à la divulgation des négociations » , Le Mag IT, (consulté le ).
- Adrien Le Sech, « Analyse du groupe rançongiciel LockBit 3.0 : contexte, jeu d'intrusion et recommandations de sécurité » , ZDNet, (consulté le ).
- François Manens, « Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ? » , La Tribune, (consulté le ).
- (en) Shingo Matsugaya, « LockBit, BlackCat, and Royal Dominate the Ransomware Scene » , TrendsMicro, (consulté le ).
- Bogdan Bodnar, « Le redoutable ransomware Lockbit a fuité après une dispute avec des hackers », Numérama, (consulté le ).
- Florian Bayard, « Ransomware Lockbit : une armée de clones envahit le web » , 01 Net, (consulté le ).
- Bogdan Bodnar, « Les Mac d'Apple ne sont plus à l'abri du puissant ransomware Locbkit » , Numerama, (consulté le ).
- Bogdan Bodnar, « Cyberattaque contre un grand média chinois, pourquoi est-ce inédit ? » , Numérama, (consulté le ).
- Juliette Paquier, « Cybercriminalité : LockBit, ces hackers russophones qui ciblent régulièrement la France » , La Croix, (consulté le ).
- Damien Bancal, « LockBit 3.0 : des pirates aux centaines de piratage » , Zataz, (consulté le ).
- Théo Janvier, « Lockbit vs Bl00dy : quand les hackers se font la guerre entre eux » , Journal du Net, (consulté le ).
- Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit a été arrêté au Canada » , Numérama, (consulté le ).
- « Un hacker arrêté au Canada serait lié à plus de 100 attaques au rançongiciel en France », Le Figaro, (consulté le ).
- (en) Mike Arsalides, « Convicted cybercriminal from Bradford, Ont., sentenced for global ransomware scheme » , CTV News, (consulté le ).
- Gabriel Thierry, « Avant un éventuel procès en France, une première condamnation pour l'un des hackers de LockBit » , ZD Net, (consulté le ).
- Bogdan Bodnar, « On connait le visage d'un célèbre hacker russe recherché par le FBI » , Numerama, (consulté le ).
- « Cyberattaques: la France et six autres pays se liguent contre le groupe russophone LockBit » , BFMTV, (consulté le ).
- Bogdan Bodnar, « Un hacker russe membre du célèbre groupe Lockbit arrêté aux États-Unis » , Numérama, (consulté le ).
- (en) Sergiu Gatlan, « Police arrests LockBit ransomware members, release decryptor in global crackdown » , Bleeping Computer, (consulté le ).
- Par Gabriel Thierry |, « Le gang LockBit touché par “Cronos”, spectaculaire opération policière internationale », sur ZDNet France, (consulté le ).
- Florian Bayard, « Lockbit est déjà de retour : le gang de pirates multiplie les attaques », 01net, (lire en ligne, consulté le ).
- « NCA (2024) News : LockBit leader unmasked and sanctioned », .
- Hyukwoo Nam, « La tête du chef de LockBit mise à prix 15 millions de dollars » , ZD Net, (consulté le ).
- (en-US) Dan Goodin, « Ransomware associated with LockBit still spreading 2 days after server takedown », sur Ars Technica, (consulté le ).
- « LockBit : ce que l'on sait de l'opération contre le groupe de hackeurs «le plus nuisible au monde» », Libération, (lire en ligne, consulté le ).
- Mélina LOUPIA, « LockBit est toujours actif et déploie une énorme campagne de ransomware, soyez vigilants » , Clubic, (consulté le ).
- (en) Sergiu Gatlan, « Botnet sent millions of emails in LockBit Black ransomware campaign » , Bleeping Computer, (consulté le ).
- « L'identité du hacker le plus recherché au monde, le chef du gang LockBit, vient d'être révélée par la police », Numérama, .
- « Voici le visage du cybercriminel le plus recherché de la planète, leader du groupe LockBit » , Clubic, .
- (en) « Dmitry Khoroshev named as alleged leader of ransomware gang LockBit », The Guardian, .
- « Cyberattaques : qui est Dmitri Khoroshev, le patron russe du groupe de hackers LockBit, dont l'identité vient d'être révélée ? » , France Info, (consulté le ).
- (en) « Lockbit Ransomware Administrator Dmitry Yuryevich Khoroshev » , US Department of State, (consulté le ).
- (en) « COURT DOC: U.S. Charges Russian National with Developing and Operating LockBit Ransomware » , (consulté le ).
- « Le groupe cybercriminel Lockbit visé par une nouvelle vague d’arrestations » , Le Monde, (consulté le ).
- Damien Licata Caruso, « Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale » , Le Parisien, (consulté le ).
- « Cybercriminalité : l'hôpital de Corbeil-Essonnes refuse de payer la rançon, les hackeurs ont commencé à diffuser des données » , Le Monde, (consulté le ).
- Bogdan Bodnar, « Les hackers de l'hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d'organismes français » [archive du ] [html], sur Numerama, (consulté le ).
- (en) Bill Toulas, « Pendragon car dealer refuses $60 million LockBit ransomware demand », Bleeping Computer, (consulté le ).
- David Di Giacomo, « Un groupe de hackers revendique une cyberattaque contre Thalès », France Info, (consulté le ).
- « Cybersécurité : des données volées à Thales publiées sur le darkweb » , Le Figaro, (consulté le ).
- Louis Adam, « Thales : Lockbit diffuse des données volées, l'entreprise dément toute intrusion dans son système » , Le Monde, (consulté le ).
- Nathalie Steiwer, « Continental victime d'une cyberattaque à 50 millions de dollars » , Les Échos, (consulté le ).
- Sébastien Bonifay, « Cyberattaque : L'OEHC refuse de négocier, et promet un retour à la normale le plus rapidement possible », France 3, (consulté le ).
- (en) Ionut Ilascu, « LockBit claims attack on California's Department of Finance » , Bleeping Computer, (consulté le ).
- (en) Bill Toulas, « LockBit ransomware claims attack on Port of Lisbon in Portugal » , Bleeping Computer, (consulté le ).
- Mallory Delicourt, « Ransomware : après l'attaque d'un hôpital pour enfants, comment ce gang de pirates s'est excusé » , Clubic, (consulté le ).
- Gabriel Thierry, « Le gang LockBit tente de faire chanter l'entreprise Nuxe » , ZD Net, (consulté le ).
- (en) Lawrence Abrams, « Royal Mail cyberattack linked to LockBit ransomware operation » , Bleeping Computer, (consulté le ).
- (ru) « «Самые плодовитые хакеры»: США пообещали $10 млн за помощь в поимке россиянина во главе LockBit (« Les hackers les plus prolifiques » : les Etats-Unis ont promis 10 millions de dollars pour aider à la capture du Russe à la tête de LockBit) » (consulté le ).
- Gabriel Thierry, « Le leader français de la santé privée visé par LockBit » , ZDNet, (consulté le ).
- « Qu'est-ce que LockBit, le rançongiciel utilisé contre les librairies Indigo » , Les affaires, (consulté le ).
- Gabriel Thierry, « LockBit étoffe encore son tableau de chasse hexagonal » , ZDNet, (consulté le ).
- Gabriel Thierry, « Le piratage de Voyageurs du monde se solde par la fuite de plusieurs milliers de copies de passeports » , ZD Net, (consulté le ).
- (en) Bill Toulas, « TSMC denies LockBit hack as ransomware gang demands $70 million » , Bleeping Computer, (consulté le ).
- Jérôme Marin, « Ransomware : Boeing touché par une attaque de LockBit » , L'Usine digitale, (consulté le ).
- (en) Ionut Ilascu, « LockBit ransomware leaks gigabytes of Boeing data » , Bleeping Computer, (consulté le ).
- (en) Costas Mourselas in London, Kate Duguid and Joshua Franklin in New York and Hannah Murphy in San Francisco, « Ransomware attack on ICBC disrupts trades in US Treasury market » , Financial Times, (consulté le ).
- Bogdan Bodnar, « Des hackers russophones attaquent la plus grande banque chinoise » , Numérama, (consulté le ).
- Bogdan Bodnar, « La cyberattaque contre le Loiret est encore un coup des hackers de Lockbit » , Numérama, (consulté le ).
- Bogdan Bodnar, « Un important groupe de hackers revendique une cyberattaque contre Subway » , Numérama, (consulté le ).
- Bogdan Bodnar, « « Vos données ont été volées », le gang de hackers Lockbit fait savoir à tout le monde qu'il vous a piraté » , Numérama, (consulté le ).
- Florian Bayard, « Le ransomware Lockbit divulgue une montagne de « données sensibles » sur des patients français » , 01 Net, (consulté le ).
- Bogdan Bodnar, « Des hackers se font passer pour le célèbre gang Lockbit pour faire peur aux victimes » , Numérama, (consulté le ).
- (en) « U.S. Charges Russian National with Developing and Operating LockBit Ransomware » , (consulté le ).
- (ru) « США объявили награду за информацию о россиянине Хорошеве по делу LockBit (Les États-Unis annoncent une récompense pour toute information sur le Russe Khoroshev dans l'affaire LockBit) » (consulté le ).