LockBit — це активна група (RaaS Ransomware-as-a-Service), яка вперше з'явилася у вересні 2019 року та колись була відома як «ABCD Ransomware» через те, що початкова версія додавала суфікс «.abcd» під час шифрування файлів. Відома своєю технологічною зрілістю, високим ступенем автоматизації та високою ефективністю здирництва, група здійснила велику кількість атак на бізнес, уряди, освіту та медичні установи по всьому світу, і була класифікована як передова постійна загроза кількома агентствами національної безпеки (APT) організаціями. Ми розкрили цю організацію минулого року.
!
Технології LockBit постійно вдосконалюються, розробляючи кілька версій:
LockBit 1.0 (2019): характеризується шифрувальним суфіксом “.abcd”, підтримує платформу Windows, використовує алгоритми RSA + AES для шифрування, швидкість виконання висока;
LockBit 2.0 (2021): впроваджено автоматизовані можливості розповсюдження, що підвищує ефективність вимагання;
LockBit 3.0 / LockBit Black (2022): модульний дизайн, має високу стійкість до аналізу, а також вперше запроваджує програму винагороди за уразливості, пропонуючи зовнішнім дослідникам безпеки винагороду за тестування програмного забезпечення-вимагача;
LockBit Green (передбачувана версія 2023 року): підозрюється, що інтегрує частину коду розпущеної групи зловмисників Conti.
Як типовий представник моделі RaaS, LockBit залучає "франчайзі(Affiliates)" через основних розробників, які надають інструменти для програм-вимагачів, відповідальних за конкретні атаки, проникнення та розгортання, і стимулює співпрацю через розподіл викупу, зазвичай нападники можуть отримати 70% відсотків. Крім того, його стратегія "подвійного викупу" також є дуже примусовою: з одного боку, шифрує файли, з іншого боку, викрадає дані та погрожує їх оприлюдненням; якщо жертва відмовляється сплатити викуп, дані будуть опубліковані на її спеціальному сайті витоків.
З технічної точки зору, LockBit підтримує операційні системи Windows і Linux, використовує багатопотокову технологію шифрування та набір інструкцій AES-NI для досягнення високої продуктивності шифрування, має можливість горизонтального переміщення в локальній мережі (наприклад, за допомогою PSExec, брутфорсу RDP тощо), перед шифруванням також активно закриває бази даних, видаляє резервні копії та інші критично важливі служби.
Атаки LockBit зазвичай є високосистематизованими та мають типові риси APT. Уся ланцюг атак виглядає приблизно так:
Початковий доступ (фішингові електронні листи, експлуатація вразливостей, слабкі паролі RDP)
Горизонтальний рух (Mimikatz, Cobalt Strike тощо)
Підвищення прав
Викрадення даних
Шифрування файлів
Вспливаюче повідомлення про викуп
Опублікувати інформацію на сайтах витоку (якщо не сплачено)
Під час активності LockBit було кілька резонансних подій:
У 2022 році атака на італійську податкову службу вплинула на дані мільйонів платників податків;
Заявляв про злом канадської лікарні SickKids, потім вибачився і надав декодер;
Багато виробників (таких як оборонні та медичні підприємства) стали жертвами шифрування LockBit;
У другому кварталі 2022 року більше 40% глобальних атак-вимагачів;
Загальний вплив на понад 1000 компаній, значно перевищує старі угруповання, такі як Conti, REvil та ін.
Рівень успішності вимагання дуже високий, у 2022 році більше половини з 100 мільйонів доларів викупу, які були запропоновані, було успішно отримано.
Однак, навіть такий потужний, як LockBit, не є безсмертним. 19 лютого 2024 року вебсайт LockBit був закритий під час спільної правоохоронної операції Національного кримінального агентства Великобританії, Федерального бюро розслідувань США, Європейського поліцейського управління та Інтерполу, багато членів LockBit були заарештовані або оголошені в розшук, але основна команда розробників все ще не була повністю знищена, деякі зразки все ще циркулюють в темній мережі і використовуються дочірніми групами.
Надзвичайна ситуація: сайт LockBit був зламаний
Сьогодні, SlowMist ( отримав інформацію: onion-сайт LockBit був зламаний, зловмисники не лише захопили його панель управління, а й випустили архівний файл, що містить базу даних, що призвело до витоку бази даних LockBit, включаючи адреси біткоїнів, приватні ключі, записи чатів та іншу чутливу інформацію, пов'язану з компанією.
>< Рей: LockBit зламано? Є якісь новини?
>
> LockBitSupp: було зламано лише легку панель управління з авторизаційним кодом, жоден декриптор не був вкрадений, а корпоративні дані не постраждали.
>
> Рей: Так, але це означає, що адреса біткойна, зміст розмови та ключі були скомпрометовані... Це також вплине на репутацію, так?
>
> Rey: Чи була вкрадена Locker Builder (будівельник замків) або вихідний код?
>
> Рей: Ви знову запустите роботу? Якщо так, то скільки часу це займе?
>
> LockBitSupp: Вкрадено лише адресу біткоїна та вміст розмови, декриптор не був вкрадений. Так, це дійсно впливає на репутацію, але виправлення та повторний запуск також вплинуть на репутацію. Джерельний код не було вкрадено. Ми вже працюємо над відновленням.
>
> Рей: Добре, бажаю вам удачі. Дякую за вашу відповідь.
>
>
) аналіз витоку
Медленний туман ###SlowMist( завантажив відповідні злиті файли в першу чергу (виключно для внутрішніх дослідницьких цілей, резервні копії були своєчасно видалені). Ми провели первинний аналіз структури каталогу, кодових файлів та вмісту бази даних, намагаючись відтворити архітектуру та функціональні компоненти внутрішньої платформи LockBit.
З огляду на структуру каталогу, це схоже на платформу управління жертвами LockBit, написану на легкій архітектурі PHP.
Аналіз структури каталогу:
api/、ajax/、services/、models/、workers/ показують, що проект має певну модульність, але не відповідає структурі, прийнятій у таких фреймворках, як Laravel (наприклад, app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php вказують на те, що база даних та функції ініціалізуються вручну;
vendor/ + composer.json використовує Composer, що вказує на те, що могла бути впроваджена стороння бібліотека, але весь фреймворк міг бути написаний сам по собі;
імена папок victim/、notifications-host/ виглядають підозріло (особливо в безпекових дослідженнях).
Отже, ми припускаємо, що цей хакер з "Праги" ймовірно використовує PHP 0 day або 1 day для зламу веб-сайтів і консолей.
Напрями потоку коштів для відмивання грошей досить чіткі, в кінцевому підсумку вони потрапляють на торгову платформу. Через обмеження в обсязі, в подальшому MistTrack проведе більше аналізу криптовалютних адрес, зацікавлені можуть стежити за X: @MistTrack_io.
Наразі офіційний представник LockBit також опублікував останню заяву щодо цього інциденту. Приблизний переклад звучить так:
> "7 травня 2025 року наш легкий контрольний панель з автоматичною реєстрацією була зламаною, і будь-хто міг обійти авторизацію та безпосередньо отримати доступ до цієї панелі. База даних була вкрадена, але жодні чутливі дані декодера або постраждалої компанії не були залучені. Наразі ми розслідуємо конкретний спосіб вторгнення та розпочинаємо процес відновлення. Головна панель та блог працюють у звичайному режимі."
>
> "За словами, нападником є людина на ім'я 'xoxo', яка походить з Праги. Якщо ви можете надати точну інформацію про його особу — лише за умови, що інформація надійна, я готовий заплатити."
>
>
Відповідь LockBit має певний іронічний зміст. Раніше Державний департамент США оголосив про винагороду за отримання інформації про особу та місцезнаходження основних учасників або ключових співробітників групи LockBit, максимальна винагорода складає до 10 мільйонів доларів; одночасно, для заохочення викриття атак, здійснених їхніми партнерами )Affiliates(, також пропонується винагорода до 5 мільйонів доларів.
Сьогодні LockBit був зламаний і, в свою чергу, оголосив ціну в каналі на пошук підказок щодо нападників — ніби «механізм мисливця за головами» обернувся проти нього, що викликає сміх і сльози, і ще більше виявляє недоліки та хаос у його внутрішній системі безпеки.
) підсумок
LockBit активно функціонує з 2019 року і є однією з найнебезпечніших груп зловмисного програмного забезпечення для викупу у світі, з оцінною сумою викупу (включаючи неопубліковані дані) не менше 150 мільйонів доларів. Їхня модель RaaS (викуп як послуга) приваблює велику кількість учасників для здійснення атак. Хоча ця група зазнала правоохоронного тиску в рамках "Operation Cronos" на початку 2024 року, вона все ще залишається активною. Цей інцидент став важливим викликом для безпеки внутрішніх систем LockBit, що може вплинути на їхню репутацію, довіру учасників та стабільність роботи. Водночас це демонструє тенденцію "обратних атак" проти кіберзлочинних організацій у кіберпросторі.
Команда безпеки Slow Mist рекомендує всім сторонам:
Постійний моніторинг інформації: уважно стежити за відновленням LockBit та потенційними варіантами;
Слідкуйте за активністю темного вебу: в режимі реального часу моніторьте відповідні форуми, сайти та інформаційні джерела, щоб запобігти повторним витокам і зловживанню даними;
Посилення захисту від загроз RaaS: аналіз власних вразливостей, зміцнення механізмів виявлення та блокування інструментів RaaS;
Удосконалення механізму реагування організації: якщо виявлено пряму чи непряму зв'язок з власною організацією, рекомендується негайно повідомити відповідний орган і розпочати план реагування;
Моніторинг фінансів та взаємодія з запобіганням шахрайству: якщо виявлено підозрілі платіжні маршрути, що потрапляють на платформу, слід посилити заходи з протидії відмиванню грошей у поєднанні з системою моніторингу на блокчейні.
Ця подія ще раз нагадує нам, що навіть найсильніші у технічному плані хакерські організації не можуть повністю уникнути кібератак. Це також є однією з причин, чому фахівці з безпеки продовжують боротися.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Чорний чорний: Аналіз інциденту з глобальною групою вимагання номер один LockBit
Попередній огляд: Хто такий LockBit?
LockBit — це активна група (RaaS Ransomware-as-a-Service), яка вперше з'явилася у вересні 2019 року та колись була відома як «ABCD Ransomware» через те, що початкова версія додавала суфікс «.abcd» під час шифрування файлів. Відома своєю технологічною зрілістю, високим ступенем автоматизації та високою ефективністю здирництва, група здійснила велику кількість атак на бізнес, уряди, освіту та медичні установи по всьому світу, і була класифікована як передова постійна загроза кількома агентствами національної безпеки (APT) організаціями. Ми розкрили цю організацію минулого року.
!
Технології LockBit постійно вдосконалюються, розробляючи кілька версій:
Як типовий представник моделі RaaS, LockBit залучає "франчайзі(Affiliates)" через основних розробників, які надають інструменти для програм-вимагачів, відповідальних за конкретні атаки, проникнення та розгортання, і стимулює співпрацю через розподіл викупу, зазвичай нападники можуть отримати 70% відсотків. Крім того, його стратегія "подвійного викупу" також є дуже примусовою: з одного боку, шифрує файли, з іншого боку, викрадає дані та погрожує їх оприлюдненням; якщо жертва відмовляється сплатити викуп, дані будуть опубліковані на її спеціальному сайті витоків.
З технічної точки зору, LockBit підтримує операційні системи Windows і Linux, використовує багатопотокову технологію шифрування та набір інструкцій AES-NI для досягнення високої продуктивності шифрування, має можливість горизонтального переміщення в локальній мережі (наприклад, за допомогою PSExec, брутфорсу RDP тощо), перед шифруванням також активно закриває бази даних, видаляє резервні копії та інші критично важливі служби.
Атаки LockBit зазвичай є високосистематизованими та мають типові риси APT. Уся ланцюг атак виглядає приблизно так:
Під час активності LockBit було кілька резонансних подій:
Однак, навіть такий потужний, як LockBit, не є безсмертним. 19 лютого 2024 року вебсайт LockBit був закритий під час спільної правоохоронної операції Національного кримінального агентства Великобританії, Федерального бюро розслідувань США, Європейського поліцейського управління та Інтерполу, багато членів LockBit були заарештовані або оголошені в розшук, але основна команда розробників все ще не була повністю знищена, деякі зразки все ще циркулюють в темній мережі і використовуються дочірніми групами.
Надзвичайна ситуація: сайт LockBit був зламаний
Сьогодні, SlowMist ( отримав інформацію: onion-сайт LockBit був зламаний, зловмисники не лише захопили його панель управління, а й випустили архівний файл, що містить базу даних, що призвело до витоку бази даних LockBit, включаючи адреси біткоїнів, приватні ключі, записи чатів та іншу чутливу інформацію, пов'язану з компанією.
! [])https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683(
Більш драматично те, що хакери залишили на зламаному сайті промовисту фразу: "Не злочиніть, злочинити погано, з Праги."
Невдовзі відповідні дані були завантажені на платформи, такі як GitHub, і швидко поширилися.
! [])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(
LockBit офіційно відповів на своєму каналі російською мовою, приблизно наступним чином:
! [])https://img.gateio.im/social/moments-0e1ddd21116426070d0b50e217c2c51c(
>< Рей: LockBit зламано? Є якісь новини? > > LockBitSupp: було зламано лише легку панель управління з авторизаційним кодом, жоден декриптор не був вкрадений, а корпоративні дані не постраждали. > > Рей: Так, але це означає, що адреса біткойна, зміст розмови та ключі були скомпрометовані... Це також вплине на репутацію, так? > > Rey: Чи була вкрадена Locker Builder (будівельник замків) або вихідний код? > > Рей: Ви знову запустите роботу? Якщо так, то скільки часу це займе? > > LockBitSupp: Вкрадено лише адресу біткоїна та вміст розмови, декриптор не був вкрадений. Так, це дійсно впливає на репутацію, але виправлення та повторний запуск також вплинуть на репутацію. Джерельний код не було вкрадено. Ми вже працюємо над відновленням. > > Рей: Добре, бажаю вам удачі. Дякую за вашу відповідь. > >
) аналіз витоку
Медленний туман ###SlowMist( завантажив відповідні злиті файли в першу чергу (виключно для внутрішніх дослідницьких цілей, резервні копії були своєчасно видалені). Ми провели первинний аналіз структури каталогу, кодових файлів та вмісту бази даних, намагаючись відтворити архітектуру та функціональні компоненти внутрішньої платформи LockBit.
! [])https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(
З огляду на структуру каталогу, це схоже на платформу управління жертвами LockBit, написану на легкій архітектурі PHP.
Аналіз структури каталогу:
Отже, ми припускаємо, що цей хакер з "Праги" ймовірно використовує PHP 0 day або 1 day для зламу веб-сайтів і консолей.
Консоль управління виглядає так:
! [])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(
Частина інформації про спілкування в чаті:
! [])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(
Давайте подивимось на інформацію, обведену червоним квадратом: жертва CEO з co ... coinbase? сплатив викуп?
Водночас, витік бази даних також стосується близько 60 000 BTC адрес:
! [])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(
У витоку бази даних є облікові дані 75 користувачів:
! [])https://img.gateio.im/social/moments-9ad7b2a165b0b44b48a8ce629c92ee5(
! [])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(
Цікаві переговори про ціну:
! [])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(
Випадково знайти замовлення, що успішно оплачено:
! [])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(
Адреса замовлення:
! [])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(
І використовуйте MistTrack для відстеження адреси отримання біткоїнів:
! [])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(
Напрями потоку коштів для відмивання грошей досить чіткі, в кінцевому підсумку вони потрапляють на торгову платформу. Через обмеження в обсязі, в подальшому MistTrack проведе більше аналізу криптовалютних адрес, зацікавлені можуть стежити за X: @MistTrack_io.
Наразі офіційний представник LockBit також опублікував останню заяву щодо цього інциденту. Приблизний переклад звучить так:
! [])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(
> "7 травня 2025 року наш легкий контрольний панель з автоматичною реєстрацією була зламаною, і будь-хто міг обійти авторизацію та безпосередньо отримати доступ до цієї панелі. База даних була вкрадена, але жодні чутливі дані декодера або постраждалої компанії не були залучені. Наразі ми розслідуємо конкретний спосіб вторгнення та розпочинаємо процес відновлення. Головна панель та блог працюють у звичайному режимі." > > "За словами, нападником є людина на ім'я 'xoxo', яка походить з Праги. Якщо ви можете надати точну інформацію про його особу — лише за умови, що інформація надійна, я готовий заплатити." > >
Відповідь LockBit має певний іронічний зміст. Раніше Державний департамент США оголосив про винагороду за отримання інформації про особу та місцезнаходження основних учасників або ключових співробітників групи LockBit, максимальна винагорода складає до 10 мільйонів доларів; одночасно, для заохочення викриття атак, здійснених їхніми партнерами )Affiliates(, також пропонується винагорода до 5 мільйонів доларів.
Сьогодні LockBit був зламаний і, в свою чергу, оголосив ціну в каналі на пошук підказок щодо нападників — ніби «механізм мисливця за головами» обернувся проти нього, що викликає сміх і сльози, і ще більше виявляє недоліки та хаос у його внутрішній системі безпеки.
) підсумок
LockBit активно функціонує з 2019 року і є однією з найнебезпечніших груп зловмисного програмного забезпечення для викупу у світі, з оцінною сумою викупу (включаючи неопубліковані дані) не менше 150 мільйонів доларів. Їхня модель RaaS (викуп як послуга) приваблює велику кількість учасників для здійснення атак. Хоча ця група зазнала правоохоронного тиску в рамках "Operation Cronos" на початку 2024 року, вона все ще залишається активною. Цей інцидент став важливим викликом для безпеки внутрішніх систем LockBit, що може вплинути на їхню репутацію, довіру учасників та стабільність роботи. Водночас це демонструє тенденцію "обратних атак" проти кіберзлочинних організацій у кіберпросторі.
Команда безпеки Slow Mist рекомендує всім сторонам:
Ця подія ще раз нагадує нам, що навіть найсильніші у технічному плані хакерські організації не можуть повністю уникнути кібератак. Це також є однією з причин, чому фахівці з безпеки продовжують боротися.