Selon LeMagIT (article de Valéry Rieß-Marchive, 7 janvier 2026), LockBit met en scène son « retour » sous bannière LockBit 5.0 en multipliant les publications de victimes, mais une analyse détaillée révèle surtout un volume gonflé par des revendications recyclées.

• Chronologie des publications 📅

  • 7 décembre 2025 : 40 victimes publiées.
  • Mi-décembre : 9 revendications supplémentaires.
  • 26 décembre : un lot de 54 revendications. Au total, plus de 110 revendications sont apparues en décembre 2025.

• Recyclage massif et originalité limitée 🧮

  • Environ 40 revendications proviennent de la fuite de données de LockBit 3.0 d’avril 2025 ou avaient déjà été vues fin 2024 sous LB3.0.
  • D’autres victimes avaient été précédemment revendiquées par d’autres enseignes (Qilin, TheGentlement, Weyhro, RansomHub, RALord).
  • Seules 48 revendications apparaissent réellement inédites.

• Attaques récentes avérées et retraits de posts ✅

  • Au moins une victime récente confirmée : Milano Ristorazione (violation par logiciel malveillant fin novembre 2025), publiée le 7 décembre.
  • Trois revendications publiées en décembre ont été retirées du site vitrine, suggérant un possible paiement de rançon.

• Temporalité réelle des incidents ⏳

  • Analyse d’une vingtaine de revendications inédites : parmi celles estimées avec un haut niveau de confiance, 2 incident(s) dateraient d’août 2025, 6 de septembre, 6 d’octobre et 4 de novembre.
  • L’impression d’une reprise « tonitruante » en fin d’année est donc trompeuse, l’activité paraissant plus étalée dans le temps.

• Synthèse Article de presse spécialisé proposant une analyse de menace sur la communication de LockBit 5.0 : il démystifie l’ampleur apparente du « retour » en distinguant recyclage et cas véritablement nouveaux, et en replaçant les incidents sur une frise temporelle plus réaliste.

🧠 TTPs et IOCs détectés

TTP

T1587.001 (Develop Capabilities: Malware), T1486 (Data Encrypted for Impact), T1078 (Valid Accounts), T1059 (Command and Scripting Interpreter), T1562.001 (Impair Defenses: Disable or Modify Tools), T1071 (Application Layer Protocol), T1490 (Inhibit System Recovery)

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://www.lemagit.fr/actualites/366637075/Ransomware-comment-LockBit-met-en-scene-son-retour