Ransomware : LockBit 3.0 et Conti dans des franchises nébuleuses

LockSelf Team

5 min de lecture
Partager
Ransomware : LockBit 3.0 et Conti dans des franchises nébuleuses

Les faits

Les révélations autour de LockBit 3.0 sorties en 2025 redessinent un paysage bien connu des professionnels de la sécurité: le ransomware n'est plus seulement une affaire de « groupe » identifiable, mais souvent le produit d'un écosystème partagé. Les fuites montrent que des équipes autrefois présentées comme concurrentes échangent des membres, des outils et des contrats d'affiliation, au point de fonctionner comme un réseau de franchises criminelles. Cette approche rend l'attribution d'une attaque beaucoup plus complexe qu'auparavant.¹ ²

Les documents divulgués indiquent plusieurs pratiques récurrentes: mise à disposition d'infrastructures communes, commercialisation d'accès initial par des courtiers, diffusion de playbooks et formation des affiliés moins expérimentés. Le résultat: des attaques techniquement similaires attribuables à des marques différentes mais soutenues par la même boîte à outils et les mêmes opérateurs historiques.¹ ³

Points saillants issus des fuites:

  • Partage d'infrastructures et d'outils, facilitant la montée en puissance d'affiliés novices et homogénéisant les méthodes d'attaque.¹ ²
  • Détournement d'outils légitimes pour masquer l'activité malveillante et compliquer la détection.²
  • Utilisation de façades commerciales et de sociétés-écrans pour négocier et blanchir les flux financiers.¹ ³

Le mode opératoire observé suit souvent ce schéma: un courtier d'accès vend un point d'entrée sur un réseau cible; un affilié exploite l'accès puis exfiltre et chiffre; enfin, une équipe centrale prend en charge la négociation. Cette logique de rotation de marque permet aux opérateurs de se « rebrander » régulièrement après une opération ratée ou une pression policière.¹ ³

Contexte

Le modèle Ransomware-as-a-Service existe depuis plusieurs années. À partir de 2019, des groupes comme LockBit ont popularisé une économie où des développeurs vendent ou louent des outils à des affiliés contre une part des rançons, à la manière d'un SaaS mais pour des activités criminelles.¹

Entre 2019 et 2021, l'écosystème s'est complexifié: séparation accrue des rôles entre développeurs, affiliés et services auxiliaires (cryptage, négociation, fuite de données). De 2021 à 2023, Conti a illustré ce passage à une organisation plus « industrielle », avec des niveaux de professionnalisation élevés. Les interventions policières n'ont pas éradiqué ces compétences: selon les fuites de 2025, plusieurs anciens opérateurs Conti ont simplement migré vers de nouvelles marques, emportant playbooks et modules éprouvés.¹ ³

Trois moteurs expliquent cette évolution:

  • Rentabilité: les affiliés migrent vers les plateformes qui offrent le meilleur retour sur investissement.
  • Résilience opérationnelle: diviser l'activité en petites marques réduit l'impact d'une action de police ciblée.
  • Marché des accès: des courtiers fournissent des points d'entrée prêts à l'emploi, ce qui affaiblit le rôle de la réputation globale d'une marque dans la fidélité des opérateurs.²

Conséquence directe: chaque incident devient plus difficile à tracer jusqu'à un auteur unique, et les enquêtes doivent se focaliser davantage sur les infrastructures partagées que sur les labels publics.

Réactions et conséquences

Illustration cybersécurité

Les agences gouvernementales et les acteurs privés adaptent leurs méthodes. Plutôt que de pourchasser exclusivement les entités visibles, les enquêtes se recentrent sur les services partagés - hébergeurs, brokers d'accès, canaux financiers - et sur la chaîne de valeur du crime. Plusieurs alertes et analyses techniques ont été publiées pour guider la détection et la réponse.² ³

Impacts principaux pour les entreprises:

  • Attribution plus incertaine: la présence d'éléments communs entre attaques empêche une liaison nette avec un acteur précis, ralentissant les poursuites et l'application de sanctions.¹
  • Complexification des opérations de négociation: les sociétés-écrans et intermédiaires rendent les flux financiers plus opaques, augmentant le coût et la difficulté des enquêtes financières.³
  • Pression sur les assureurs: la fréquence des rebrandings et l'incertitude d'attribution conduisent certains assureurs à durcir les polices ransomware ou à exclure certains risques.¹

Sur le plan stratégique, les réponses publiques et privées doivent évoluer: combiner démantèlement d'infrastructures, coopération internationale pour geler les flux financiers, et ciblage des brokers d'accès. Les actions isolées contre un nom de marque perdent de l'efficacité quand l'opération se déplace sous un nouveau label.¹ ²

Conséquences techniques et recommandations

Pour les responsables sécurité, la liste des priorités change. L'approche doit devenir moins marquante-centrique et davantage orientée vers l'infrastructure et le comportement.

Mesures pratiques à mettre en oeuvre:

  • Surveiller et prioriser les vecteurs d'accès initial: identifier les signes d'activité provenant d'outils de type RDP, VPN ou services d'accès à distance, et traiter les brokers d'accès comme des menaces à part entière.²
  • Renforcer la détection comportementale: favoriser EDR/NDR et règles basées sur les séquences d'actions (mouvements latéraux, collecte de crédentiels, exfiltration) plutôt que sur des signatures statiques.²
  • Chasse aux menaces axée sur les modules et timings: chercher les patterns d'exfiltration et les artefacts communs issus des leaks pour relier des incidents apparemment distincts.¹ ²
  • Durcir les vecteurs classiques: authentification forte, segmentation réseau, réduction des accès administratifs continus et mise à jour des contrôles sur les sessions à privilèges.
  • Coopération inter-organisationnelle: partager indicateurs et comportements entre entreprises et avec les équipes gouvernementales pour casser la valeur opérationnelle des playbooks divulgués.¹ ³

Exemples concrets observés:

  • Exemple A: un affilié achète un accès via un broker, exfiltre des données en 48 heures et procède à un chiffrement orchestré selon un process en plusieurs étapes visible dans les playbooks divulgués. Les artefacts réseau et la séquence d'actions ont permis à des équipes de chasse de remonter à la même infrastructure utilisée dans d'autres attaques.²
  • Exemple B: des opérateurs issus de Conti rejoignent une nouvelle marque et réutilisent des modules d'extorsion et des scripts d'automatisation. Cette réutilisation facilite la détection si les défenseurs exploitent les informations issues des fuites pour créer des règles comportementales.¹ ³

Vers une réponse plus efficace

Les efforts judiciaires et policiers restent nécessaires mais ne suffiront pas isolément. Ils doivent s'articuler avec des actions techniques ciblées: perturbation des services d'infrastructure, gel des canaux de paiement, et actions contre les brokers d'accès. La coopération internationale est centrale, car les composants d'un même réseau criminel peuvent être dispersés sur plusieurs juridictions.¹ ² ³

Enfin, les entreprises doivent mettre l'accent sur la résilience: plans de continuité, sauvegardes isolées et exercices réguliers de restauration sont des contre-mesures simples qui réduisent l'appétence au paiement de rançons.

Les fuites LockBit 3.0 sont un rappel brutal: le paysage des ransomwares évolue vers des modèles fragmentés et adaptatifs. Les défenseurs doivent réviser leurs priorités, en ciblant l'infrastructure partagée et les canaux financiers plutôt que les seules marques visibles.

Questions fréquentes

Que révèlent précisément les fuites LockBit 3.0 sur la provenance des opérateurs?

Les fuites montrent des preuves d'intégration d'anciens opérateurs Conti dans des réseaux affiliés, avec contrats, playbooks et historiques d'opérations listés dans des documents internes. Ces éléments indiquent que des compétences et modules opérationnels ont été réutilisés par de nouvelles marques après la dissolution apparente de groupes antérieurs.¹ ³

Pourquoi parle-t-on d'« écran de fumée » pour les franchises?

La marque publique sert souvent de façade marketing. Les mêmes compétences, outils et infrastructures peuvent être partagés entre plusieurs enseignes, rendant le label peu révélateur de la véritable organisation opérationnelle. En pratique, une marque peut masquer un réseau d'opérateurs et de services communs.¹

Quelles mesures techniques doivent prioriser les équipes de sécurité?

Prioriser la détection comportementale via EDR/NDR, surveiller et réduire les vecteurs d'accès initial (RDP, VPN), mener des chasses aux menaces ciblées sur les patterns d'exfiltration et durcir la gestion des accès privilégiés. Les playbooks divulgués doivent être traduits en règles comportementales pour enrichir les détections.²

Les sanctions et démantèlements sont-ils efficaces contre ce modèle fragmenté?

Ils restent utiles mais moins décisifs seuls. La rotation des marques et la porosité des acteurs imposent des actions combinées: démantèlement d'infrastructures, gel des canaux financiers et ciblage des brokers d'accès. La coopération internationale renforce l'efficacité de ces mesures.¹ ²

Que retirent les défenseurs des enquêtes sur les fuites?

Les fuites fournissent des patterns d'attaque, des modules fréquemment utilisés et des timings d'exfiltration; ces informations sont exploitables pour créer des règles de détection, prioriser la chasse et identifier des cibles à perturber sur le plan opérationnel et financier.¹ ²

Sources

Lire la suite