Apparu en septembre 2019, LockBit est un rançongiciel fonctionnant sous le modèle économique du Ransomware-as-a-Service. Les opérateurs du groupe cybercriminel ont développé et mis à disposition de leurs affiliés plusieurs variantes de LockBit. Il s’agit du rançongiciel le plus utilisé dans les incidents signalés à l’ANSSI en 2022. Ce document détaille les tactiques, techniques et procédures, incluant les outils et vulnérabilités exploitées, utilisées par les affiliés de LockBit. Il contient également des recommandations techniques permettant de limiter la probabilité et les impacts des attaques par rançongiciel.
Cette publication, intitulée « Understanding Ransomware Threat Actors : LockBit » est réalisée conjointement par l’ANSSI, la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), le Multi-State Information Sharing and Analysis Center (MS-ISAC), l’Australian Cyber Security Centre (ACSC), le Canadian Centre for Cyber Security (CCCS), le National Cyber Security Center britannique (NCSC-UK), le Bundesamt für Sicherheit in der Informationstechnik allemand (BSI), le CERT néo-zélandais (CERT-NZ) et le National Cyber Security Centre néo-zélandais (NCSC-NZ).
