« Don’t do crime, CRIME is bad ». Après ces quelques mots enjoignant à ne pas commettre de crimes, le mystérieux inconnu derrière la fuite de données visant les cybercriminels de LockBit, repérée le 7 mai dernier sur le site de la franchise criminelle, aurait pu ajouter que le cybercrime ne paie pas tant que cela.
Car les plusieurs milliers de messages de négociation, datés entre décembre 2024 et fin avril 2025, suggèrent un groupe aux abois prêt à accepter des montants de rançon relativement faibles. Selon l’entreprise de cybersécurité Qualys, les montants exigés commenceraient ainsi à seulement 4000 dollars en bitcoin, jusqu’à l’équivalent de 150 000 dollars.
Selon le média LeMagIt, les montants étaient « très fréquemment inférieurs à 20 000 dollars ». « Dans certains cas, les victimes ont été contraintes de ne payer que quelques milliers de dollars », notait également un expert de l’entreprise Rapid7 sur le réseau social professionnel Rapid7.
LockBit rn knowing all their payment chats just got leaked
— Lisa Forte (@lisaforte.bsky.social) 8 mai 2025 à 12:36
150 millions de rançons
Certes, pour les organisations victimes, c’est toujours trop. Mais on est loin des rançons à sept chiffres du « big game hunting », cette chasse au gros poisson qui a attisé l’appétît de criminels de tout poil.
Les riches heures des cybercriminels LockBit semblent en effet loin. Selon les autorités américaines, ces derniers sont accusés d’avoir été derrière au moins 2500 attaques dans le monde.
Avec un butin estimé à au moins 150 millions de dollars. Soit une moyenne de 60 000 dollars par victime, sachant que seule une portion des organisations visées passent à la caisse.
« Mine d’or »
Outre ces messages de négociation, la fuite de données ayant visé LockBit s’est traduite par la divulgation de près de 60 000 adresses bitcoin. « Une mine d’or » pour les chercheurs en sécurité, relevait James O’Grady sur LinkedIn, parfois assez cocasse : l’expert en sécurité d’Amazon a ainsi identifié des mots de passe stockés en clair.
Un fail de plus pour LockBit, perturbé depuis plus d’un an par une série d’actions policières dans le cadre de l’opération « Cronos ».
L’identité du patron de franchise de rançongiciel autrefois numéro un a ainsi été divulguée, tandis que les arrestations se poursuivent, en témoigne l’arrestation d’un suspect en décembre dernier. Sans doute les meilleurs preuves que le crime ne paie pas.