L’article publié par Trellix le 12 juin 2025 explore une fuite majeure du panneau d’administration de LockBit, un groupe de ransomware notoire. Le 7 mai 2025, un acteur anonyme a piraté le site TOR de LockBit, remplaçant son contenu par un message anti-crime et divulguant une base de données SQL de leur panneau d’administration.

Cette fuite, vérifiée par le Trellix Advanced Research Center, offre un aperçu détaillé des méthodes opérationnelles des affiliés de LockBit, couvrant la génération de ransomware, les négociations avec les victimes et les configurations de build. La base de données contient des informations allant de décembre 2024 à avril 2025, incluant des détails sur les organisations victimes, les logs de chat de négociation, et les portefeuilles de cryptomonnaie.

L’analyse révèle que la Chine, les États-Unis et Taïwan sont les pays les plus ciblés par LockBit, avec une prédilection pour les secteurs de la fabrication, des services à la consommation et des technologies de l’information. Le rapport met également en lumière les stratégies de négociation des affiliés, avec des demandes de rançon initiales souvent suivies de remises substantielles.

L’article constitue une analyse technique approfondie des opérations de LockBit, visant à éclairer sur les tactiques des cybercriminels et les impacts potentiels sur les organisations ciblées.

🧠 TTP et IOC détecté

TTP

T1071.001 - Application Layer Protocol: Web Protocols, T1583.001 - Acquire Infrastructure: Domains, T1583.002 - Acquire Infrastructure: Web Services, T1586.002 - Compromise Infrastructure: Web Services, T1586.003 - Compromise Infrastructure: Domains, T1588.002 - Obtain Capabilities: Tool, T1588.003 - Obtain Capabilities: Code Signing Certificates, T1588.004 - Obtain Capabilities: Exploits, T1591.002 - Gather Victim Org Information: Business Relationships, T1591.003 - Gather Victim Org Information: Technical Information, T1595.001 - Active Scanning: Scanning IP Blocks, T1595.002 - Active Scanning: Vulnerability Scanning, T1598.001 - Phishing for Information: Spearphishing Service, T1598.002 - Phishing for Information: Spearphishing Attachment, T1608.001 - Stage Capabilities: Upload Malware, T1608.002 - Stage Capabilities: Tool Deployment, T1608.003 - Stage Capabilities: Install Digital Certificates, T1614.001 - System Location Discovery: System Language Discovery, T1614.002 - System Location Discovery: System Timezone Discovery, T1615 - Data Manipulation, T1620 - Reflective Code Loading, T1621 - Multi-Factor Authentication Interception

IOC

site TOR de LockBit, base de données SQL de leur panneau d’administration

🔗 Source originale : https://www.trellix.com/blogs/research/inside-the-lockbits-admin-panel-leak-affiliates-victims-and-millions-in-crypto/