LockBit là một phần mềm mã hóa tống tiền dịch vụ ( RaaS, Ransomware-as-a-Service ), lần đầu tiên xuất hiện vào tháng 9 năm 2019. Do phiên bản ban đầu thêm hậu tố “.abcd” khi mã hóa các tệp, nó đã từng được gọi là “phần mềm mã hóa tống tiền ABCD”. Nhóm này nổi tiếng về tính kỹ thuật phát triển, tự động hóa cao và hiệu quả tống tiền, đã thực hiện nhiều cuộc tấn công nhắm vào các doanh nghiệp, chính phủ, cơ sở giáo dục và y tế trên toàn cầu, và đã được nhiều cơ quan an ninh quốc gia liệt kê là tổ chức mối đe dọa liên tục cao ( APT ). Chúng tôi đã từng tiết lộ về tổ chức này vào năm ngoái.
Công nghệ của LockBit liên tục được cập nhật, phát triển ra nhiều phiên bản:
LockBit 1.0 (2019): Đặc trưng với hậu tố mã hóa ".abcd", hỗ trợ nền tảng Windows, sử dụng thuật toán RSA + AES để mã hóa, tốc độ thực thi nhanh;
LockBit 2.0 (2021): Đưa ra khả năng phát tán tự động, nâng cao hiệu quả tống tiền;
LockBit 3.0 / LockBit Black (2022): Thiết kế mô-đun, có khả năng chống phân tích mạnh mẽ, đồng thời lần đầu tiên ra mắt chương trình thưởng lỗi, thưởng cho các nhà nghiên cứu an ninh bên ngoài để kiểm tra phần mềm ransomware;
LockBit Green (phiên bản 2023 được đồn đại): nghi ngờ đã tích hợp một phần mã của băng nhóm tống tiền Conti đã giải tán.
Là một ví dụ điển hình về mô hình RaaS, LockBit cung cấp bộ công cụ ransomware thông qua các nhà phát triển cốt lõi, thu hút "(Affiliates) bên nhận quyền" chịu trách nhiệm về các cuộc tấn công, xâm nhập và triển khai cụ thể, đồng thời khuyến khích hợp tác thông qua chia sẻ tiền chuộc, có thể được chia sẻ 70% cho kẻ tấn công trung bình. Ngoài ra, chiến thuật "tống tiền kép" của nó cực kỳ áp bức: một mặt, nó mã hóa các tệp, mặt khác, đánh cắp dữ liệu và đe dọa công khai, và nếu nạn nhân từ chối trả tiền chuộc, dữ liệu sẽ được treo trên trang web rò rỉ độc quyền của nó.
Về mặt kỹ thuật, LockBit hỗ trợ hệ thống Windows và Linux, sử dụng công nghệ mã hóa đa luồng và tập lệnh AES-NI để đạt hiệu suất mã hóa cao, có khả năng di chuyển ngang trong mạng nội bộ (như sử dụng PSExec, RDP bẻ khóa, v.v.), trước khi mã hóa cũng sẽ chủ động tắt cơ sở dữ liệu, xóa các dịch vụ quan trọng như sao lưu.
Cuộc tấn công của LockBit thường được hệ thống hóa cao độ, có những đặc điểm điển hình của APT. Chuỗi tấn công tổng thể như sau:
Truy cập ban đầu (email lừa đảo, khai thác lỗ hổng, mật khẩu yếu RDP)
Di chuyển theo chiều ngang (Mimikatz, Cobalt Strike, v.v.)
Nâng cao quyền hạn
Lấy cắp dữ liệu
Mã hóa tệp
Thông tin tống tiền xuất hiện
Công bố thông tin đến các trang lộ thông tin (nếu chưa thanh toán)
Trong thời gian hoạt động, LockBit đã gây ra nhiều sự kiện chấn động:
Tấn công cơ quan thuế Ý vào năm 2022, ảnh hưởng đến dữ liệu của hàng triệu người nộp thuế;
Đã từng tuyên bố xâm nhập vào bệnh viện SickKids của Canada, sau đó xin lỗi và cung cấp thiết bị giải mã;
Nhiều nhà sản xuất (như doanh nghiệp quốc phòng, thiết bị y tế) bị mã hóa bởi LockBit;
Trong quý 2 năm 2022, chiếm hơn 40% các cuộc tấn công ransomware toàn cầu;
Tác động tích lũy hơn 1000 doanh nghiệp, vượt xa các băng nhóm lâu đời như Conti, REvil;
Tỷ lệ thành công của việc tống tiền rất cao, trong số 100 triệu USD tiền chuộc được đề xuất vào năm 2022, hơn một nửa đã thành công.
Tuy nhiên, ngay cả LockBit mạnh mẽ cũng không phải là không có điểm yếu. Vào ngày 19 tháng 2 năm 2024, trang web LockBit đã bị đóng cửa trong một chiến dịch thi hành pháp luật phối hợp của Cục chống tội phạm quốc gia Vương quốc Anh, Cục điều tra liên bang Hoa Kỳ, Tổ chức cảnh sát châu Âu và Liên minh các cơ quan cảnh sát quốc tế, nhiều thành viên LockBit đã bị bắt hoặc bị truy nã, nhưng đội ngũ phát triển cốt lõi vẫn chưa bị triệt phá hoàn toàn, một số mẫu vẫn đang được lưu truyền trên mạng tối, được các nhóm nhánh tiếp tục sử dụng.
Sự cố bất ngờ: Trang web LockBit bị hack
Hôm nay, SlowMist ( nhận được tin tức: trang onion của LockBit đã bị hack, kẻ tấn công không chỉ chiếm quyền kiểm soát bảng điều khiển của nó mà còn phát hành một tệp nén chứa cơ sở dữ liệu, hành động này đã dẫn đến việc cơ sở dữ liệu của LockBit bị rò rỉ, bao gồm địa chỉ bitcoin, khóa riêng, nhật ký trò chuyện và thông tin nhạy cảm của các công ty liên quan.
LockBitSupp: Chỉ bị tấn công vào bảng điều khiển nhẹ có mã ủy quyền, không có trình giải mã nào bị đánh cắp, cũng không có dữ liệu công ty nào bị tổn hại.
Rey: Vâng, nhưng điều này có nghĩa là địa chỉ Bitcoin, nội dung cuộc trò chuyện và khóa bị rò rỉ... Điều này cũng sẽ ảnh hưởng đến danh tiếng chứ?
Rey: Locker Builder (Builder tống tiền) hoặc mã nguồn có bị đánh cắp không?
Rey: Các bạn có quay lại làm việc không? Nếu có, mất bao lâu?
LockBitSupp: Chỉ có địa chỉ Bitcoin và nội dung cuộc trò chuyện bị đánh cắp, không có trình giải mã nào bị đánh cắp. Vâng, điều này thực sự ảnh hưởng đến danh tiếng, nhưng việc tái ra mắt sau khi sửa chữa cũng sẽ ảnh hưởng đến danh tiếng. Mã nguồn không bị đánh cắp. Chúng tôi đang tiến hành công việc phục hồi.
Rey: Được rồi, chúc các bạn may mắn. Cảm ơn câu trả lời của bạn.
) phân tích rò rỉ
SlowMist### đã tải xuống các tài liệu bị rò rỉ liên quan ngay lập tức (chỉ sử dụng cho mục đích nghiên cứu nội bộ, bản sao lưu đã được xóa kịp thời). Chúng tôi đã tiến hành phân tích sơ bộ cấu trúc thư mục, các tệp mã và nội dung cơ sở dữ liệu, cố gắng khôi phục kiến trúc và các thành phần chức năng của nền tảng hoạt động nội bộ LockBit.
Từ cấu trúc thư mục mà xem, đây giống như một nền tảng quản lý nạn nhân LockBit được viết bằng kiến trúc PHP nhẹ.
Phân tích cấu trúc thư mục:
api/、ajax/、services/、models/、workers/ hiển thị dự án có một số mô-đun hóa, nhưng không tuân theo cấu trúc quy ước của các framework như Laravel (ví dụ như app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php cho thấy việc quản lý cơ sở dữ liệu và hàm được thực hiện bằng tay;
vendor/ + composer.json đã sử dụng Composer, cho thấy có thể đã đưa vào thư viện bên thứ ba, nhưng toàn bộ khung có thể là do tự viết;
tên thư mục như victim/、notifications-host/ có vẻ nghi ngờ (đặc biệt trong nghiên cứu bảo mật).
Vì vậy, chúng tôi suy đoán rằng có thể hacker đến từ "Prague" này đã sử dụng PHP 0 day hoặc 1 day để xử lý trang web và bảng điều khiển.
Bảng điều khiển quản lý như sau:
Một số thông tin giao tiếp trò chuyện:
Chúng ta xem thông tin được khoanh tròn trong khung đỏ: CEO nạn nhân từ co ... coinbase? Thanh toán tiền chuộc?
Đồng thời, cơ sở dữ liệu bị rò rỉ còn liên quan đến khoảng 60.000 địa chỉ BTC:
Cơ sở dữ liệu bị rò rỉ có 75 tài khoản và mật khẩu của người dùng:
Cuộc trò chuyện trả giá thú vị:
Tìm ngẫu nhiên một đơn hàng đã thanh toán thành công:
Địa chỉ đơn hàng:
Và sử dụng MistTrack để theo dõi địa chỉ nhận Bitcoin:
Dòng tiền rửa tiền khá rõ ràng, cuối cùng chảy vào nền tảng giao dịch. Do giới hạn về độ dài, MistTrack sẽ thực hiện nhiều phân tích hơn về địa chỉ tiền điện tử, nếu bạn quan tâm có thể theo dõi X: @MistTrack_io.
Hiện tại, LockBit chính thức cũng đã phát hành tuyên bố mới nhất về sự kiện này. Dịch sơ bộ như sau:
"Vào ngày 7 tháng 5 năm 2025, một bảng điều khiển nhẹ với chức năng tự động đăng ký của chúng tôi đã bị xâm nhập, bất kỳ ai cũng có thể vượt qua quyền truy cập trực tiếp vào bảng điều khiển đó. Cơ sở dữ liệu đã bị đánh cắp, nhưng không có dữ liệu nhạy cảm của công ty bị nạn hoặc trình giải mã nào bị ảnh hưởng. Hiện tại, chúng tôi đang điều tra cách xâm nhập cụ thể và khởi động quy trình tái xây dựng. Bảng điều khiển chính và blog vẫn hoạt động bình thường."
“Được cho là kẻ tấn công lần này là một người tên ‘xoxo’, đến từ Prague. Nếu bạn có thể cung cấp thông tin chính xác về danh tính của anh ta - chỉ cần tin tức đáng tin cậy, tôi sẵn sàng trả tiền để mua.”
Phản hồi này của LockBit mang tính châm biếm. Trước đó, Bộ Ngoại giao Hoa Kỳ đã phát hành thông báo treo thưởng để thu thập thông tin về danh tính và vị trí của các thành viên cốt lõi hoặc cộng tác viên quan trọng của băng nhóm LockBit, với mức thưởng cao nhất lên tới 10 triệu đô la; đồng thời, để khuyến khích việc vạch trần các hành vi tấn công của các thành viên (Affiliates) của họ, còn cung cấp tối đa 5 triệu đô la tiền thưởng.
Hiện nay, LockBit đã bị hack, và ngược lại mở giá tìm kiếm manh mối về kẻ tấn công trong kênh - như thể cơ chế "thợ săn tiền thưởng" đã tự làm hại chính mình, thật đáng cười và cũng làm lộ thêm những lỗ hổng và sự hỗn loạn trong hệ thống an ninh nội bộ của nó.
( Tóm tắt
LockBit đã hoạt động từ năm 2019, là một trong những nhóm phần mềm độc hại tống tiền nguy hiểm nhất thế giới, tổng số tiền chuộc ước tính (bao gồm cả dữ liệu chưa công khai) ít nhất 150 triệu đô la Mỹ. Mô hình RaaS (ransomware-as-a-service) của nó thu hút nhiều thành viên tham gia tấn công. Mặc dù nhóm này đã phải đối mặt với cuộc tấn công pháp lý "Operation Cronos" vào đầu năm 2024, nhưng vẫn duy trì hoạt động. Sự kiện này đánh dấu một thách thức lớn đối với an ninh hệ thống nội bộ của LockBit, có thể ảnh hưởng đến uy tín của nó, độ tin cậy của các thành viên và sự ổn định trong hoạt động. Đồng thời, nó cũng thể hiện xu hướng "phản công" nhằm vào các tổ chức tội phạm mạng trong không gian mạng.
Nhóm an ninh Man Fog khuyên các bên:
Giám sát thông tin liên tục: Theo dõi chặt chẽ động thái tái xây dựng của LockBit và các phiên bản biến thể tiềm năng;
Theo dõi diễn biến của mạng tối: Giám sát thời gian thực các diễn đàn, trang web và nguồn tin liên quan, ngăn chặn rò rỉ dữ liệu thứ hai và lạm dụng dữ liệu;
Tăng cường phòng thủ chống lại mối đe dọa RaaS: rà soát các bề mặt tiếp xúc của bản thân, tăng cường khả năng nhận diện và cơ chế chặn các chuỗi công cụ RaaS;
Cơ chế phản ứng của tổ chức được hoàn thiện: Nếu phát hiện có liên quan trực tiếp hoặc gián tiếp đến tổ chức của mình, nên ngay lập tức thông báo cho cơ quan quản lý và khởi động kế hoạch khẩn cấp;
Theo dõi dòng tiền và liên kết phòng chống lừa đảo: Nếu phát hiện có đường thanh toán nghi ngờ chảy vào nền tảng của mình, cần kết hợp với hệ thống giám sát trên chuỗi để tăng cường phòng chống rửa tiền.
Sự kiện lần này lại nhắc nhở chúng ta rằng, ngay cả những tổ chức hacker có kỹ thuật mạnh mẽ cũng không thể hoàn toàn miễn nhiễm với các cuộc tấn công mạng. Đây cũng là một trong những lý do mà các chuyên gia an ninh tiếp tục chiến đấu.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Đen ăn đen: Phân tích sự kiện bị hack của băng nhóm tống tiền số 1 toàn cầu LockBit
Tóm tắt quá khứ: LockBit là ai?
LockBit là một phần mềm mã hóa tống tiền dịch vụ ( RaaS, Ransomware-as-a-Service ), lần đầu tiên xuất hiện vào tháng 9 năm 2019. Do phiên bản ban đầu thêm hậu tố “.abcd” khi mã hóa các tệp, nó đã từng được gọi là “phần mềm mã hóa tống tiền ABCD”. Nhóm này nổi tiếng về tính kỹ thuật phát triển, tự động hóa cao và hiệu quả tống tiền, đã thực hiện nhiều cuộc tấn công nhắm vào các doanh nghiệp, chính phủ, cơ sở giáo dục và y tế trên toàn cầu, và đã được nhiều cơ quan an ninh quốc gia liệt kê là tổ chức mối đe dọa liên tục cao ( APT ). Chúng tôi đã từng tiết lộ về tổ chức này vào năm ngoái.
Công nghệ của LockBit liên tục được cập nhật, phát triển ra nhiều phiên bản:
Là một ví dụ điển hình về mô hình RaaS, LockBit cung cấp bộ công cụ ransomware thông qua các nhà phát triển cốt lõi, thu hút "(Affiliates) bên nhận quyền" chịu trách nhiệm về các cuộc tấn công, xâm nhập và triển khai cụ thể, đồng thời khuyến khích hợp tác thông qua chia sẻ tiền chuộc, có thể được chia sẻ 70% cho kẻ tấn công trung bình. Ngoài ra, chiến thuật "tống tiền kép" của nó cực kỳ áp bức: một mặt, nó mã hóa các tệp, mặt khác, đánh cắp dữ liệu và đe dọa công khai, và nếu nạn nhân từ chối trả tiền chuộc, dữ liệu sẽ được treo trên trang web rò rỉ độc quyền của nó.
Về mặt kỹ thuật, LockBit hỗ trợ hệ thống Windows và Linux, sử dụng công nghệ mã hóa đa luồng và tập lệnh AES-NI để đạt hiệu suất mã hóa cao, có khả năng di chuyển ngang trong mạng nội bộ (như sử dụng PSExec, RDP bẻ khóa, v.v.), trước khi mã hóa cũng sẽ chủ động tắt cơ sở dữ liệu, xóa các dịch vụ quan trọng như sao lưu.
Cuộc tấn công của LockBit thường được hệ thống hóa cao độ, có những đặc điểm điển hình của APT. Chuỗi tấn công tổng thể như sau:
Trong thời gian hoạt động, LockBit đã gây ra nhiều sự kiện chấn động:
Tuy nhiên, ngay cả LockBit mạnh mẽ cũng không phải là không có điểm yếu. Vào ngày 19 tháng 2 năm 2024, trang web LockBit đã bị đóng cửa trong một chiến dịch thi hành pháp luật phối hợp của Cục chống tội phạm quốc gia Vương quốc Anh, Cục điều tra liên bang Hoa Kỳ, Tổ chức cảnh sát châu Âu và Liên minh các cơ quan cảnh sát quốc tế, nhiều thành viên LockBit đã bị bắt hoặc bị truy nã, nhưng đội ngũ phát triển cốt lõi vẫn chưa bị triệt phá hoàn toàn, một số mẫu vẫn đang được lưu truyền trên mạng tối, được các nhóm nhánh tiếp tục sử dụng.
Sự cố bất ngờ: Trang web LockBit bị hack
Hôm nay, SlowMist ( nhận được tin tức: trang onion của LockBit đã bị hack, kẻ tấn công không chỉ chiếm quyền kiểm soát bảng điều khiển của nó mà còn phát hành một tệp nén chứa cơ sở dữ liệu, hành động này đã dẫn đến việc cơ sở dữ liệu của LockBit bị rò rỉ, bao gồm địa chỉ bitcoin, khóa riêng, nhật ký trò chuyện và thông tin nhạy cảm của các công ty liên quan.
![])https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683(
Thậm chí còn kịch tính hơn, các hacker đã để lại một câu nói đầy ý nghĩa trên trang web bị xâm phạm: "Đừng phạm tội, phạm tội là xấu, đến từ Prague."
Không lâu sau, dữ liệu liên quan đã được tải lên các nền tảng như GitHub và nhanh chóng lan rộng.
![])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(
LockBit chính thức sau đó đã phản hồi trên kênh của mình bằng tiếng Nga, ý nghĩa đại khái như sau:
![])https://img.gateio.im/social/moments-0e1ddd21116426070d0b50e217c2c51c(
) phân tích rò rỉ
SlowMist### đã tải xuống các tài liệu bị rò rỉ liên quan ngay lập tức (chỉ sử dụng cho mục đích nghiên cứu nội bộ, bản sao lưu đã được xóa kịp thời). Chúng tôi đã tiến hành phân tích sơ bộ cấu trúc thư mục, các tệp mã và nội dung cơ sở dữ liệu, cố gắng khôi phục kiến trúc và các thành phần chức năng của nền tảng hoạt động nội bộ LockBit.
Từ cấu trúc thư mục mà xem, đây giống như một nền tảng quản lý nạn nhân LockBit được viết bằng kiến trúc PHP nhẹ.
Phân tích cấu trúc thư mục:
Vì vậy, chúng tôi suy đoán rằng có thể hacker đến từ "Prague" này đã sử dụng PHP 0 day hoặc 1 day để xử lý trang web và bảng điều khiển.
Bảng điều khiển quản lý như sau:
Một số thông tin giao tiếp trò chuyện:
Chúng ta xem thông tin được khoanh tròn trong khung đỏ: CEO nạn nhân từ co ... coinbase? Thanh toán tiền chuộc?
Đồng thời, cơ sở dữ liệu bị rò rỉ còn liên quan đến khoảng 60.000 địa chỉ BTC:
Cơ sở dữ liệu bị rò rỉ có 75 tài khoản và mật khẩu của người dùng:
Cuộc trò chuyện trả giá thú vị:
Tìm ngẫu nhiên một đơn hàng đã thanh toán thành công:
Địa chỉ đơn hàng:
Và sử dụng MistTrack để theo dõi địa chỉ nhận Bitcoin:
Dòng tiền rửa tiền khá rõ ràng, cuối cùng chảy vào nền tảng giao dịch. Do giới hạn về độ dài, MistTrack sẽ thực hiện nhiều phân tích hơn về địa chỉ tiền điện tử, nếu bạn quan tâm có thể theo dõi X: @MistTrack_io.
Hiện tại, LockBit chính thức cũng đã phát hành tuyên bố mới nhất về sự kiện này. Dịch sơ bộ như sau:
Phản hồi này của LockBit mang tính châm biếm. Trước đó, Bộ Ngoại giao Hoa Kỳ đã phát hành thông báo treo thưởng để thu thập thông tin về danh tính và vị trí của các thành viên cốt lõi hoặc cộng tác viên quan trọng của băng nhóm LockBit, với mức thưởng cao nhất lên tới 10 triệu đô la; đồng thời, để khuyến khích việc vạch trần các hành vi tấn công của các thành viên (Affiliates) của họ, còn cung cấp tối đa 5 triệu đô la tiền thưởng.
Hiện nay, LockBit đã bị hack, và ngược lại mở giá tìm kiếm manh mối về kẻ tấn công trong kênh - như thể cơ chế "thợ săn tiền thưởng" đã tự làm hại chính mình, thật đáng cười và cũng làm lộ thêm những lỗ hổng và sự hỗn loạn trong hệ thống an ninh nội bộ của nó.
( Tóm tắt
LockBit đã hoạt động từ năm 2019, là một trong những nhóm phần mềm độc hại tống tiền nguy hiểm nhất thế giới, tổng số tiền chuộc ước tính (bao gồm cả dữ liệu chưa công khai) ít nhất 150 triệu đô la Mỹ. Mô hình RaaS (ransomware-as-a-service) của nó thu hút nhiều thành viên tham gia tấn công. Mặc dù nhóm này đã phải đối mặt với cuộc tấn công pháp lý "Operation Cronos" vào đầu năm 2024, nhưng vẫn duy trì hoạt động. Sự kiện này đánh dấu một thách thức lớn đối với an ninh hệ thống nội bộ của LockBit, có thể ảnh hưởng đến uy tín của nó, độ tin cậy của các thành viên và sự ổn định trong hoạt động. Đồng thời, nó cũng thể hiện xu hướng "phản công" nhằm vào các tổ chức tội phạm mạng trong không gian mạng.
Nhóm an ninh Man Fog khuyên các bên:
Sự kiện lần này lại nhắc nhở chúng ta rằng, ngay cả những tổ chức hacker có kỹ thuật mạnh mẽ cũng không thể hoàn toàn miễn nhiễm với các cuộc tấn công mạng. Đây cũng là một trong những lý do mà các chuyên gia an ninh tiếp tục chiến đấu.