Le groupe de ransomwares LockBit est revenu avec une nouvelle variante, LockBit 5.0, visant des organisations dans le monde entier après les perturbations de l’opération Cronos au début de 2024. En septembre 2025, des chercheurs ont identifié une douzaine de victimes en Europe occidentale, dans les Amériques et en Asie, la nouvelle version étant impliquée dans la moitié des attaques. Check Point Research confirme des efforts d’extorsion actifs utilisant cette menace multiplateforme.
Le retour de LockBit a commencé de manière discrète mais a pris de l’élan en 2025. En mai 2025, l’administrateur du groupe, LockBitSupp, a publié sur le forum RAMP : « Nous nous relevons toujours après avoir été piratés. » En août, il a annoncé que le groupe « reprenait le travail ». Le retour officiel est survenu au début de septembre 2025, lorsque LockBitSupp a déclaré la relance de l’opération sur des forums clandestins et a commencé à recruter de nouveaux affiliés.
Ce regain a suivi l’opération Cronos, un effort des forces de l’ordre au début de 2024 qui a perturbé le groupe. Malgré la mise hors service, l’infrastructure mature de LockBit, sa réputation et son réseau d’affiliés ont permis une récupération rapide. La nouvelle variante LockBit 5.0, appelée en interne « ChuongDong », prend en charge les systèmes Windows, Linux et ESXi, permettant des attaques sur des environnements hybrides et virtualisés. Environ 80 % des attaques observées en septembre ont visé Windows, tandis que 20 % se sont concentrées sur ESXi et Linux.
Les améliorations techniques de LockBit 5.0 incluent des mécanismes anti-analyse plus robustes pour entraver les enquêtes forensiques, un chiffrement optimisé pour raccourcir les temps de réponse des défenseurs, et des extensions de fichiers aléatoires de 16 caractères pour une meilleure évasion. Le panneau de contrôle des affiliés offre désormais une gestion améliorée avec des identifiants individuels. Les nouveaux affiliés doivent déposer environ 500 $ en Bitcoin pour accéder aux outils. Les notes de rançon spécifient LockBit 5.0 et fournissent des liens de négociation personnalisés avec un délai de 30 jours avant la publication des données.
La douzaine de victimes de septembre marque le début de ce qui pourrait être une campagne plus large, alors que l’activité souterraine se poursuit en octobre. Cela met en lumière la résilience des modèles de ransomwares en tant que service face aux actions d’application de la loi. Les organisations doivent faire face à la nécessité de défenses couvrant les périmètres réseau, les points d’extrémité et la détection multiplateforme pour contrer de telles menaces.