Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes.

• Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black.

• Portée et plateformes touchées: Les attaques s’étendent à l’Europe de l’Ouest, les Amériques et l’Asie, avec environ 80% sur Windows et 20% sur ESXi et Linux, confirmant la portée multiplateforme et la réactivation de l’infrastructure et du réseau d’affiliés.

• Chronologie et dynamique souterraine: Début septembre, LockBit annonce officiellement son retour, publie LockBit 5.0 et recrute de nouveaux affiliés. Malgré la perturbation due à Operation Cronos (arrestations et saisies), l’administrateur LockBitSupp a échappé aux autorités et a réaffirmé l’intention de reprise sur le forum RAMP; une tentative de réintégration sur XSS a échoué.

• Implication et positionnement: La résurgence souligne la résilience du groupe, la maturité de son modèle RaaS et sa réputation dans l’écosystème criminel. Check Point mentionne que Harmony Endpoint et Quantum bloquent ces menaces via la Threat Emulation, avant chiffrement.

• IOCs et TTPs:

  • IOCs: Aucun indicateur de compromission fourni dans l’article.
  • TTPs: Ransomware-as-a-Service (RaaS); chiffrement via nouvelles variantes (LockBit 5.0 « ChuongDong » et LockBit Black); ciblage multiplateforme (Windows, Linux, ESXi); recrutement d’affiliés sur forums (RAMP), publicité RaaS bannie sur XSS; extorsion via opérations actives et sites de fuite (contexte historique 20–30% des publications avant 2024).

Conclusion: Il s’agit d’une analyse de menace visant à documenter la réémergence de LockBit, ses nouvelles variantes et l’ampleur de ses opérations en septembre 2025.

🧠 TTPs et IOCs détectés

TTPs

Ransomware-as-a-Service (RaaS); chiffrement via nouvelles variantes (LockBit 5.0 « ChuongDong » et LockBit Black); ciblage multiplateforme (Windows, Linux, ESXi); recrutement d’affiliés sur forums (RAMP), publicité RaaS bannie sur XSS; extorsion via opérations actives et sites de fuite

IOCs

Aucun indicateur de compromission fourni dans l’article.

🔗 Source originale : https://blog.checkpoint.com/research/lockbit-returns-and-it-already-has-victims/

🖴 Archive : https://web.archive.org/web/20251024144643/https://blog.checkpoint.com/research/lockbit-returns-and-it-already-has-victims/