Le groupe de ransomware LockBit victime d'un piratage : 60 000 adresses Bitcoin divulguées

Le groupe de ransomware LockBit a été victime d'une cyberattaque qui a exposé ses opérations internes. Près de 60 000 adresses de portefeuilles Bitcoin liées aux activités du groupe ont fuité, ainsi que des milliers de communications de victimes et des enregistrements détaillés de son infrastructure.

La faille, initialement repérée mercredi soir par le chercheur en cybercriminalité Rey, s'est produite fin avril 2025. Les panneaux d'affiliation de LockBit sur le dark web ont été défigurés et remplacés par un message indiquant : « Ne commettez pas de crime. LE CRIME, C'EST MAL. Bisous de Prague », accompagné d'un lien vers une sauvegarde de base de données MySQL intitulée « paneldb_dump.zip » 

https://twitter.com/ReyXBF/status/1920220381681418713

« Une analyse sommaire de la base de données indique que le fichier a été créé aux alentours du 29 avril, ce qui suggère que LockBit a été compromis à cette date ou avant, puis défiguré le 7 mai », a confirmé Rey. 

Exposition de données dans le panel dump

Selon Rey, citant une analyse de la publication de cybersécurité BleepingComputer, la base de données divulguée contenait environ 20 tables, dont une table « btc_addresses » répertoriant 59 975 adresses de portefeuilles Bitcoin uniques liées aux paiements de rançon du logiciel LockBit.

Parmi les autres données importantes divulguées figure un tableau intitulé « builds », qui détaille les charges utiles des ransomwares créés par les affiliés de LockBit. Ce tableau inclut les clés de chiffrement publiques et, dans certains cas, les noms des entreprises ciblées. 

Le tableau « builds_configurations » indiquait quels fichiers ou serveurs les affiliés configuraient leurs attaques pour les éviter ou les chiffrer, ainsi que plusieurs autres tactiques opérationnelles utilisées lors de précédentes campagnes de ransomware.

Comme le montre un tableau intitulé « discussions », il y avait plus de 4 400 messages de négociation entre les affiliés de LockBit et les victimes, s'étalant du 19 décembre 2024 au 29 avril 2025. 

pic.twitter.com/gjbtzQg9VM

— Ransom-DB (@Ransom_DB) 8 mai 2025

La fuite de données révèle également une table « utilisateurs » listant 75 administrateurs et affiliés de LockBit ayant accès au panneau d'administration du groupe. Les experts en sécurité ont été stupéfaits de découvrir que les mots de passe des utilisateurs étaient stockés en clair. 

Le chercheur en cybersécurité Michael Gillespie a mentionné certains des mots de passe exposés, notamment « Weekendlover69 », « MovingBricks69420 » et « Lockbitproud231 » 

LockBitSupp, un opérateur connu du groupe LockBit, a confirmé lors d'une discussion sur Tox avec Rey que la faille était bien réelle. Il a toutefois insisté sur le fait qu'aucune clé privée ni donnée critique n'avait été compromise. 

https://twitter.com/ReyXBF/status/1920245719434231900

Alon Gal, directeur technique de Hudson Rock, a indiqué que les données comprennent également des versions personnalisées du ransomware et certaines clés de déchiffrement. Selon lui, si elles sont authentifiées, ces clés pourraient permettre à certaines victimes de récupérer leurs données sans payer de rançon.

Exploitation des vulnérabilités du serveur

L'analyse de la base de données SQL a révélé que le serveur affecté exécutait PHP 8.1.2, une version vulnérable à une failledentcomme « CVE-2024-4577 ». Cette vulnérabilité permet l'exécution de code à distance, ce qui explique comment les attaquants ont pu infiltrer et exfiltrer les systèmes backend de LockBit. 

Des experts en sécurité estiment que le style du message de défiguration pourrait relier cetdent à une récente attaque du site de ransomware Everest, qui utilisait la même formulation « CRIME IS BAD ». Cette similitude suggère qu'un même acteur ou groupe pourrait être à l'origine des deuxdent, bien qu'aucune attribution formelle n'ait été confirmée.

Les pirates informatiques à l'origine de la faille ne se sont pas manifestés, mais Kevin Beaumont, une société de sécurité basée au Royaume-Uni, a déclaré que le groupe DragonForce pourrait en être responsable. 

« Quelqu'un a piraté LockBit. Je parierais sur DragonForce », a-t-il écrit sur Mastodon.

Selon la BBC, DragonForce aurait été impliqué dans plusieurs cyberattaques contre des détaillants britanniques, dont Marks & Spencer, Co-op et Harrods.

En 2024, l'opération Cronos, un effort multinational mené par le Royaume-Uni et impliquant les forces de l'ordre de dix pays, dont le Federal Bureau of Investigation (FBI), a temporairement mis fin aux activités de LockBit, bien que le groupe ait fini par refaire surface.

L'opération aurait permis de mettre hors service 34 serveurs, de confisquer des portefeuilles de cryptomonnaies et de découvrir plus de 1 000 clés de déchiffrement. 

Les forces de l'ordre pensent que les opérateurs de LockBit sont basés en Russie, un pays où il serait difficile de les traduire en justice. Les groupes de ransomware concentrent leurs opérations en Russie car les arrestations directes y sont quasi impossibles.