黑喫黑：全球頭號勒索團夥 LockBit 被黑事件分析

前情回顧：LockBit 是誰？

LockBit 是一個活躍的勒索軟體即服務(RaaS，Ransomware-as-a-Service) 組織，最早出現在 2019 年 9 月，由於最初版本在加密文件時會添加“.abcd”後綴，它曾被稱爲“BCHD 勒索軟體”。該團夥以其技術成熟、高度自動化、勒索效率高而著稱，在全球範圍內發起了大量針對企業、政府、教育和醫療機構的攻擊，已被多個國家安全機構列爲高級持續性威脅(APT) 組織。我們曾在去年披露過這個組織。

LockBit 的技術持續迭代，發展出多個版本：

• LockBit 1.0 (2019)：以“.abcd”加密後綴爲特徵，支持 Windows 平台，使用 RSA + AES 算法加密，執行速度快；
• LockBit 2.0 (2021)：引入自動化傳播能力，提高勒索效率；
• LockBit 3.0 / LockBit Black (2022)：模塊化設計，具備強抗分析能力，還首次推出了漏洞賞金計劃，向外部安全研究者懸賞測試勒索軟體；
• LockBit Green（傳聞中的 2023 版本）：疑似整合了已解散的 Conti 勒索團夥部分代碼。

作爲 RaaS 模式的典型代表，LockBit 通過核心開發者提供勒索軟體工具包，吸引“加盟者(Affiliates)” 負責具體攻擊、滲透與部署，並通過贖金分成來激勵合作，一般攻擊者可獲分成 70%。此外，其“雙重勒索”策略也極具壓迫性：一方面加密文件，另一方面竊取數據並威脅公開，一旦受害者拒絕支付贖金，數據將會被掛在其專屬泄露站點上。

技術層面上，LockBit 支持 Windows 和 Linux 系統，使用多線程加密技術與 AES-NI 指令集實現高性能加密，具備內網橫向移動能力（如使用 PSExec、RDP 爆破等），加密前還會主動關閉數據庫、刪除備份等關鍵服務。

LockBit 的攻擊通常高度系統化，具備典型的 APT 特徵。整個攻擊鏈條大致如下：

• 初始訪問（釣魚郵件、漏洞利用、RDP 弱口令）
• 橫向移動（Mimikatz、Cobalt Strike 等）
• 權限提升
• 數據竊取
• 文件加密
• 彈出勒索信息
• 公布信息至泄露站點（若未付款）

LockBit 活躍期間曾掀起多起轟動事件：

• 2022 年攻擊意大利稅務局，影響數百萬納稅人數據；
• 曾聲稱入侵加拿大 SickKids 醫院，後道歉並提供解密器；
• 多起制造商（如防務、醫療設備企業）遭 LockBit 加密；
• 2022 年第二季度，佔全球勒索攻擊的 40% 以上；
• 累計影響超過 1000 家企業，遠超 Conti、REvil 等老牌團夥；
• 勒索成功率極高，2022 年其提出的 1 億美元贖金中有超過一半成功拿到。

不過，即便強如 LockBit，也並非無懈可擊。2024 年 2 月 19 日，LockBit 網站在英國國家犯罪局、美國聯邦調查局、歐洲刑警組織和國際警察機構聯盟的聯合執法行動中被查封，多名 LockBit 成員被逮捕或通緝，但核心開發團隊仍未被完全瓦解，部分樣本仍在暗網上流傳，被分支團體繼續使用。

突發事件：LockBit 站點被黑

今日，慢霧(SlowMist) 收到情報：LockBit 的 onion 站點被黑，攻擊者不僅接管了其控制面板，還放出了一份包含數據庫的打包文件，此舉導致 LockBit 的數據庫被泄露，包括比特幣地址、私鑰、聊天記錄以及其關聯公司等敏感信息。

更具戲劇性的是，黑客在被篡改的站點上留下了意味深長的一句話：“不要犯罪，犯罪是不好的，來自布拉格。”

不久後，相關數據被上傳至 GitHub 等平台，並迅速擴散。

LockBit 官方隨後在其頻道以俄語作出回應，大概意思如下：

Rey：LockBit 被黑了？有進展嗎？

LockBitSupp：只被攻破了帶有授權碼的輕量級控制面板，沒有解密器被盜，也沒有公司數據受損。

Rey：是，但這意味着比特幣地址、對話內容和密鑰等被泄露了…這也會影響聲譽吧？

Rey：Locker Builder（勒索構建器）或者原始碼有沒有被盜？

Rey：你們還會重新上線工作嗎？如果會，需要多長時間？

LockBitSupp：只有比特幣地址和對話內容被盜，沒有解密器被盜。是的，這確實影響聲譽，但修復後的重新上線也會影響聲譽。原始碼沒有被盜。我們已經在着手恢復工作了。

Rey：好的，祝你們好運。謝謝你的回答。

泄露分析

慢霧(SlowMist) 第一時間下載了相關泄露文件（僅用於內部研究用途，備份已及時刪除）。我們對目錄結構、代碼文件和數據庫內容進行了初步分析，試圖還原 LockBit 內部運作平台的架構及其功能組件。

從目錄結構來看，這像一種輕量級 PHP 架構編寫的 LockBit 受害者管理平台。

目錄結構分析：

• api/、ajax/、services/、models/、workers/ 顯示項目有一定的模塊化，但不符合 Laravel 等框架約定的結構（如 app/Http/Controllers）；
• DB.php、prodDB.php、autoload.php、functions.php 表明數據庫和函數引導是手動管理的；
• vendor/ + composer.json 使用了 Composer，說明可能引入了第三方庫，但整個框架可能是自己寫的；
• victim/、notifications-host/ 等文件夾名比較可疑（特別是在安全研究中）。

所以我們推測可能這位來自“布拉格”的黑客應該是使用 PHP 0 day 或 1 day 搞定 Web 站點和控制臺。

管理控制臺如下：

部分聊天溝通信息：

我們看下紅框圈出來的信息：受害者 CEO 從 co ... coinbase？付勒索款項？

同時，泄露的數據庫還涉及約 60,000 個 BTC 地址：

泄露的數據庫中有 75 個用戶的帳號密碼：

有趣的討價還價聊天：

隨機找支付成功的訂單：

訂單地址：

並使用 MistTrack 對比特幣收款地址進行追蹤：

洗錢資金流向比較清晰，最終流入交易平台。受篇幅所限，後續 MistTrack 會針對加密貨幣地址進行更多分析，感興趣可關注 X：@MistTrack_io。

目前，LockBit 官方也就此次事件發布了最新聲明。大致翻譯如下：

“2025 年 5 月 7 日，我們的一個帶有自動註冊功能的輕量級控制面板遭到入侵，任何人都可以繞過授權直接訪問該面板。數據庫被盜，但沒有涉及解密器或受害公司的敏感數據。目前我們正在調查具體入侵方式，並啓動重建流程。主控面板和博客仍在正常運行。”

“據稱此次攻擊者爲一名叫‘xoxo’的人，來自布拉格。如果你能提供關於他身分的確切信息——只要消息可靠，我願意出錢購買。”

LockBit 的這番回應頗具諷刺意味。在此前，美國國務院曾發布懸賞通告，爲獲取 LockBit 團夥核心成員或關鍵協作者的身分與位置信息，最高懸賞可達 1,000 萬美元；同時，爲鼓勵揭露其加盟者(Affiliates) 的攻擊行爲，另提供最高 500 萬美元的賞金。

如今，LockBit 被黑，反過來在頻道中開價尋找攻擊者線索——仿佛將“賞金獵人機制”反噬在了自己身上，令人哭笑不得，也進一步暴露出其內部安全體系的漏洞與混亂。

總結

LockBit 自 2019 年起活躍，是全球最危險的勒索軟體團夥之一，累計勒索贖金估算（包括未公開數據）至少 1.5 億美元。其 RaaS（勒索即服務）模型吸引大量加盟者參與攻擊。盡管該團夥在 2024 年初曾遭遇“Operation Cronos”執法打擊，但依然保持活躍。此次事件標志着 LockBit 內部系統安全受到重大挑戰，可能影響其信譽、加盟者信任度與運營穩定性。同時，也展現出網路空間中針對網路犯罪組織的“反向攻擊”趨勢。

慢霧安全團隊建議各方：

• 持續情報監控：密切跟蹤 LockBit 的重建動態和潛在變種版本；
• 關注暗網動向：實時監測相關論壇、站點和情報源，防止二次泄露與數據濫用；
• 強化 RaaS 威脅防御：梳理自身暴露面，加強對 RaaS 工具鏈的識別與阻斷機制；
• 組織響應機制完善：若發現與自身組織存在直接或間接關聯，建議立即向主管機構通報並啓動應急預案；
• 資金追蹤與防詐聯動：如發現有可疑支付路徑流入自身平台，應結合鏈上監控系統加強反洗錢防範。

本次事件再次提醒我們，即便是技術能力強悍的黑客組織，也無法完全免於網路攻擊。這也是安全從業者持續戰鬥的理由之一。