Lockbit est victime d’une fuite de données. En exploitant de simples informations publiques, un chercheur en cybersécurité est parvenu à exposer une partie de l’infrastructure du gang.
Lockbit 5, la dernière version du redoutable ransomware, vient d’être exposée. Une partie de l’infrastructure du gang criminel, considéré comme le roi de l’extorsion, a été divulguée par un chercheur en cybersécurité, Rakesh Krishnan.
À lire aussi : Un hébergeur pirate a été démantelé – 250 serveurs utilisés par des cybercriminels ont été saisis
Pluie de données sur Lockbit
En faisant des recherches, l’expert a fini par dénicher un serveur lié à LockBit 5.0. Ce serveur était protégé par une page de protection DDoS avec la mention explicite de « LOCKBITS.5.0 », ce qui a permis au chercheur de comprendre qu’il était sur la bonne piste. Le chercheur s’est uniquement servi d’informations publiques laissées par les cybercriminels, vraisemblablement par négligence.
🚨Exposing #LOCKBIT 5.0 Server: IP & DOMAIN
IP: 205.185.116.233 🇺🇸#AS53667
Domain: karma0[.]xyz
Reg: 2 November 2025💡LockBit Group uses #Smokeloader in their attacks
MD5: e818a9afd55693d556a47002a7b7ef31#Lockbit5 #Ransomware #Security #Intelligence #OSINT #Databreach #TOR pic.twitter.com/U1AvMoCuck— RAKESH KRISHNAN (@RakeshKrish12) December 6, 2025
L’enquête a montré que le serveur est hébergé chez FranTech Solutions, un fournisseur déjà connu pour héberger des activités malveillantes. Basé au Canada, l’hébergeur propose de l’hébergement, du stockage, des serveurs dédiés et de la protection DDoS, utilisés aussi bien par des clients légitimes que par des acteurs malveillants. Plusieurs enquêtes montrent que FranTech Solutions se présente de plus en plus comme un fournisseur d’hébergement « bulletproof ». Il s’agit qu’une entité qui s’engage à ignorer ou à bloquer toute tentative d’enquête ou de retrait de contenu, même en cas de demande explicite de la part des forces de l’ordre.
Ensuite, le chercheur a utilisé des outils de base pour relier le serveur, le nom de domaine et l’adresse IP au nouveau portail criminel de Lockbit. Sur son compte X, le chercheur a publié toutes les informations concernant l’infrastructure du gang criminel.
Des failles béantes dans l’infrastructure de Lockbit
Dans sa publication, Rakesh Krishnan révèle que le serveur de LockBit 5.0 était directement accessible depuis Internet par le biais de plusieurs accès réseau restés ouverts, dont la fonction de connexion à distance de Windows (RDP). Comme l’explique le chercheur, il s’agit d’une sérieuse vulnérabilité dans la sécurité de l’infrastructure du gang, pourtant connu pour sa prudence.
Toutes les informations partagées par le chercheur sont en effet susceptibles d’être exploitées par les forces de l’ordre et les équipes de sécurité pour court-circuiter le retour sur le devant de la scène de Lockbit. Par exemple, ils vont pouvoir bloquer l’adresse IP et le domaine de LockBit 5.0. Cela réduit le risque qu’un PC infecté puisse contacter les serveurs de LockBit pour chiffrer des données, exfiltrer des fichiers ou afficher la page de rançon.
Pour rappel, le roi des ransomwares multiplie les cyberattaques à l’aide de son nouveau malware Lockbit 5 depuis septembre dernier. Malgré la saisie de clés de déchiffrement par les forces de l’ordre, le groupe criminel a relancé ses activités. Gageons que la fuite d’informations permettra aux autorités et aux spécialistes de la cybersécurité de réagir et contrecarrer le ransomware.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.