LockBit — это активное программное обеспечение-вымогатель как услуга (, Ransomware-as-a-Service ) организация, впервые появившаяся в сентябре 2019 года. Поскольку первоначальная версия добавляет суффикс “.abcd” при шифровании файлов, она была известна как “ABCD-вымогатель”. Эта группа известна своей технологической зрелостью, высокой степенью автоматизации и эффективностью вымогательства, осуществляя множество атак на компании, государственные органы, образовательные и медицинские учреждения по всему миру, и была признана многими национальными службами безопасности как угроза постоянного характера ( APT ) организация. Мы уже раскрывали эту организацию в прошлом году.
!
Технология LockBit продолжает развиваться, и были разработаны несколько версий:
LockBit 1.0 (2019): характерный признак - суффикс ".abcd", поддерживает платформу Windows, использует алгоритмы RSA + AES для шифрования, высокая скорость выполнения;
LockBit 2.0 (2021): внедрение автоматизированных возможностей распространения для повышения эффективности вымогательства;
LockBit 3.0 / LockBit Black (2022): Модульный дизайн, обладающий высокой устойчивостью к анализу, а также впервые представил программу вознаграждения за уязвимости, предлагая внешним исследователям безопасности вознаграждение за тестирование программ-вымогателей;
LockBit Green (предполагаемая версия 2023 года): подозревается в интеграции части кода распущенной группы вымогателей Conti.
В качестве типичного примера модели RaaS LockBit предоставляет наборы инструментов для программ-вымогателей через основных разработчиков, привлекает «(Affiliates) франчайзи» для ответственности за конкретные атаки, проникновения и развертывания, а также стимулирует сотрудничество за счет совместного использования выкупа, который может быть разделен на 70% для среднего злоумышленника. Кроме того, его тактика «двойного вымогательства» крайне репрессивна: с одной стороны, он шифрует файлы, а с другой — крадет данные и угрожает обнародовать их, и если жертва откажется платить выкуп, данные будут повешены на его эксклюзивном сайте утечки.
С технической стороны, LockBit поддерживает операционные системы Windows и Linux, использует многопоточную технологию шифрования и инструкционный набор AES-NI для достижения высокой производительности шифрования, обладает возможностью горизонтального перемещения в локальной сети (например, с использованием PSExec, RDP брутфорс и т.д.), а перед шифрованием активно отключает базы данных, удаляет резервные копии и другие ключевые сервисы.
Атаки LockBit обычно имеют высокую систематизированность и характерные черты APT. Весь цепочка атак выглядит следующим образом:
Начальный доступ (фишинговые письма, использование уязвимостей, слабые пароли RDP)
Горизонтальное перемещение (Mimikatz, Cobalt Strike и др.)
Повышение привилегий
Кража данных
Шифрование файлов
Всплывающее сообщение о вымогательстве
Опубликовать информацию на сайте утечки (если не оплачено)
В период активности LockBit произошло множество громких событий:
В 2022 году атака на налоговую службу Италии, затронувшая данные миллионов налогоплательщиков;
Заявил о взломе канадской больницы SickKids, затем извинился и предложил декодер;
Несколько производителей (например, предприятия оборонной промышленности, производители медицинского оборудования) стали жертвами шифрования LockBit;
В втором квартале 2022 года более 40% от глобальных атак программ-вымогателей;
Кumulative влияние на более чем 1000 компаний, значительно превышает влияние таких старых групп, как Conti, REvil и другие;
Успех вымогательства был чрезвычайно высок, в 2022 году более половины из запрашиваемых 100 миллионов долларов были успешно получены.
Тем не менее, даже такой сильный как LockBit не безупречен. 19 февраля 2024 года сайт LockBit был закрыт в результате совместной операции по правоприменению Национального агентства по борьбе с преступностью Великобритании, Федерального бюро расследований США, Европола и Интерпола, несколько членов LockBit были арестованы или находятся в розыске, но основная команда разработчиков все еще не была полностью разрушена, и некоторые образцы продолжают циркулировать в даркнете, используемые дочерними группами.
Чрезвычайное событие: сайт LockBit был взломан
Сегодня SlowMist ( получил информацию: onion-сайт LockBit был взломан, злоумышленники не только захватили его панель управления, но и выпустили архивный файл, содержащий базу данных. Это привело к утечке базы данных LockBit, включая адреса биткойнов, приватные ключи, переписки и другую конфиденциальную информацию о связанных компаниях.
LockBitSupp: Только была взломана легковесная панель управления с авторизационным кодом, ни декодера не украли, ни данные компании не пострадали.
Рей: Да, но это означает, что такие вещи, как адреса биткойнов, содержание разговоров и ключи были раскрыты... Это также повлияет на репутацию, правда?
Рей: Был ли украден Locker Builder (Конструктор Локеров) или исходный код?
Рей: Вы снова будете работать? Если да, то сколько времени это займет?
LockBitSupp: Только адреса биткойнов и содержание диалога были украдены, декодер не был украден. Да, это действительно влияет на репутацию, но восстановленный повторный запуск также повлияет на репутацию. Исходный код не был украден. Мы уже начали работы по восстановлению.
Рей: Хорошо, удачи вам. Спасибо за ваш ответ.
) Анализ утечек
Медленный туман ### SlowMist ( в первый раз загрузил соответствующие утекшие файлы (только для внутренних исследовательских целей, резервные копии были своевременно удалены). Мы провели первичный анализ структуры каталогов, файлов кода и содержимого базы данных, пытаясь восстановить архитектуру внутренней операционной платформы LockBit и ее функциональные компоненты.
С точки зрения структуры каталогов, это похоже на платформу управления жертвами LockBit, написанную на легковесной архитектуре PHP.
Анализ структуры каталога:
api/、ajax/、services/、models/、workers/ демонстрируют определенную модульность проекта, но не соответствуют структуре, принятой в таких фреймворках, как Laravel (например, app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php указывают на то, что управление базой данных и инициализация функций осуществляется вручную;
vendor/ + composer.json использует Composer, что указывает на возможность подключения сторонних библиотек, однако весь фреймворк, возможно, написан самостоятельно;
имена папок, такие как victim/ и notifications-host/, вызывают подозрения (особенно в области безопасности).
Поэтому мы предполагаем, что этот хакер из "Праги" должен использовать PHP 0 day или 1 day, чтобы справиться с веб-сайтом и консолью.
Направление отмывания денег достаточно четко, в конечном итоге они поступают на торговую платформу. В связи с ограничениями по объему, в дальнейшем MistTrack проведет более подробный анализ криптовалютных адресов, заинтересованные могут следить за X: @MistTrack_io.
В настоящее время официальные представители LockBit также выпустили последнее заявление по этому инциденту. Примерный перевод следующий:
"7 мая 2025 года наш легковесный контрольный панель с функцией автоматической регистрации была взломана, и любой мог обойти авторизацию и получить доступ к панели. База данных была украдена, но это не затронуло декодеры или чувствительные данные пострадавшей компании. В настоящее время мы расследуем конкретный способ взлома и запускаем процесс восстановления. Главная панель и блог продолжают работать в обычном режиме."
"Сообщается, что нападающим является человек по имени 'xoxo', который из Праги. Если вы можете предоставить точную информацию о его личности — лишь бы информация была надежной, я готов заплатить за это."
Ответ LockBit имеет довольно ироничный подтекст. Ранее Государственный департамент США выпустил уведомление о вознаграждении за получение информации о личности и местоположении ключевых участников или соратников группы LockBit, максимальная сумма вознаграждения может достигать 10 миллионов долларов; одновременно, чтобы поощрить раскрытие атакующих действий ее участников )Affiliates(, предлагается дополнительное вознаграждение в размере до 5 миллионов долларов.
Сегодня LockBit был взломан и, в свою очередь, в канале выставил цену на поиск улик о нападающих — словно механизм "охоты за головами" обернулся против них самих, что вызывает смешанные чувства, и еще больше выставляет на показ недостатки и хаос их внутренней системы безопасности.
) Резюме
LockBit активно действует с 2019 года и является одной из самых опасных групп по программам-вымогателям в мире, сумма вымогательства (включая нераскрытые данные) оценивается как минимум в 150 миллионов долларов. Модель RaaS (вымогательство как услуга) привлекает большое количество участников для осуществления атак. Несмотря на то, что эта группа столкнулась с правоприменительными мерами «Operation Cronos» в начале 2024 года, она по-прежнему остается активной. Это событие стало значительным вызовом для внутренней системы безопасности LockBit, что может повлиять на ее репутацию, доверие участников и стабильность операций. В то же время это демонстрирует тенденцию «обратных атак» против киберпреступных организаций в киберпространстве.
Команда безопасности Slow Mist рекомендует всем сторонам:
Непрерывный мониторинг информации: тщательно отслеживание динамики восстановления LockBit и потенциальных вариантов.
Следите за движением в Даркнете: осуществляйте мониторинг соответствующих форумов, сайтов и источников информации в реальном времени, чтобы предотвратить повторные утечки и злоупотребление данными;
Усиление защиты от угроз RaaS: анализ собственных уязвимостей, улучшение механизмов обнаружения и блокировки инструментов RaaS;
Совершенствование механизма реагирования организации: если обнаружена прямая или косвенная связь с собственной организацией, рекомендуется немедленно сообщить об этом в主管机构 и запустить экстренный план.
Отслеживание средств и взаимодействие с предотвращением мошенничества: если обнаружены подозрительные пути платежей, поступающих на собственную платформу, необходимо усилить меры по предотвращению отмывания денег с использованием системы мониторинга на блокчейне.
Это событие еще раз напоминает нам, что даже самые технически продвинутые хакерские группы не могут полностью избежать кибератак. Это также одна из причин, по которой специалисты по безопасности продолжают бороться.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Чёрное на чёрном: Анализ инцидента с хакерской группировкой LockBit, номер один в мире по вымогательству
Предыстория: Кто такой LockBit?
LockBit — это активное программное обеспечение-вымогатель как услуга (, Ransomware-as-a-Service ) организация, впервые появившаяся в сентябре 2019 года. Поскольку первоначальная версия добавляет суффикс “.abcd” при шифровании файлов, она была известна как “ABCD-вымогатель”. Эта группа известна своей технологической зрелостью, высокой степенью автоматизации и эффективностью вымогательства, осуществляя множество атак на компании, государственные органы, образовательные и медицинские учреждения по всему миру, и была признана многими национальными службами безопасности как угроза постоянного характера ( APT ) организация. Мы уже раскрывали эту организацию в прошлом году.
!
Технология LockBit продолжает развиваться, и были разработаны несколько версий:
В качестве типичного примера модели RaaS LockBit предоставляет наборы инструментов для программ-вымогателей через основных разработчиков, привлекает «(Affiliates) франчайзи» для ответственности за конкретные атаки, проникновения и развертывания, а также стимулирует сотрудничество за счет совместного использования выкупа, который может быть разделен на 70% для среднего злоумышленника. Кроме того, его тактика «двойного вымогательства» крайне репрессивна: с одной стороны, он шифрует файлы, а с другой — крадет данные и угрожает обнародовать их, и если жертва откажется платить выкуп, данные будут повешены на его эксклюзивном сайте утечки.
С технической стороны, LockBit поддерживает операционные системы Windows и Linux, использует многопоточную технологию шифрования и инструкционный набор AES-NI для достижения высокой производительности шифрования, обладает возможностью горизонтального перемещения в локальной сети (например, с использованием PSExec, RDP брутфорс и т.д.), а перед шифрованием активно отключает базы данных, удаляет резервные копии и другие ключевые сервисы.
Атаки LockBit обычно имеют высокую систематизированность и характерные черты APT. Весь цепочка атак выглядит следующим образом:
В период активности LockBit произошло множество громких событий:
Тем не менее, даже такой сильный как LockBit не безупречен. 19 февраля 2024 года сайт LockBit был закрыт в результате совместной операции по правоприменению Национального агентства по борьбе с преступностью Великобритании, Федерального бюро расследований США, Европола и Интерпола, несколько членов LockBit были арестованы или находятся в розыске, но основная команда разработчиков все еще не была полностью разрушена, и некоторые образцы продолжают циркулировать в даркнете, используемые дочерними группами.
Чрезвычайное событие: сайт LockBit был взломан
Сегодня SlowMist ( получил информацию: onion-сайт LockBit был взломан, злоумышленники не только захватили его панель управления, но и выпустили архивный файл, содержащий базу данных. Это привело к утечке базы данных LockBit, включая адреса биткойнов, приватные ключи, переписки и другую конфиденциальную информацию о связанных компаниях.
! [])https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683(
Более драматично то, что хакеры оставили на взломанном сайте многозначительную фразу: "Не преступайте закон, преступление - это плохо, из Праги."
Вскоре соответствующие данные были загружены на такие платформы, как GitHub, и быстро распространились.
! [])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(
LockBit официально ответила на своем канале на русском языке, примерно следующим образом:
! [])https://img.gateio.im/social/moments-0e1ddd21116426070d0b50e217c2c51c(
) Анализ утечек
Медленный туман ### SlowMist ( в первый раз загрузил соответствующие утекшие файлы (только для внутренних исследовательских целей, резервные копии были своевременно удалены). Мы провели первичный анализ структуры каталогов, файлов кода и содержимого базы данных, пытаясь восстановить архитектуру внутренней операционной платформы LockBit и ее функциональные компоненты.
! [])https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(
С точки зрения структуры каталогов, это похоже на платформу управления жертвами LockBit, написанную на легковесной архитектуре PHP.
Анализ структуры каталога:
Поэтому мы предполагаем, что этот хакер из "Праги" должен использовать PHP 0 day или 1 day, чтобы справиться с веб-сайтом и консолью.
Консоль управления выглядит следующим образом:
! [])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(
Часть информации о чате:
! [])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(
Посмотрим на информацию, выделенную красным прямоугольником: CEO жертвы из co ... coinbase? Платить выкуп?
В то же время утечка базы данных также затрагивает около 60 000 BTC адресов:
! [])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(
В утечке базы данных содержатся логины и пароли 75 пользователей:
! [])https://img.gateio.im/social/moments-9ad7b2a165b0b44b488a8ce629c92ee5(
! [])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(
Интересный торг в чате:
! [])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(
Случайно найти успешные заказы на оплату:
! [])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(
Адрес заказа:
! [])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(
И используйте MistTrack для отслеживания адресов получения биткойнов:
! [])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(
Направление отмывания денег достаточно четко, в конечном итоге они поступают на торговую платформу. В связи с ограничениями по объему, в дальнейшем MistTrack проведет более подробный анализ криптовалютных адресов, заинтересованные могут следить за X: @MistTrack_io.
В настоящее время официальные представители LockBit также выпустили последнее заявление по этому инциденту. Примерный перевод следующий:
! [])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(
Ответ LockBit имеет довольно ироничный подтекст. Ранее Государственный департамент США выпустил уведомление о вознаграждении за получение информации о личности и местоположении ключевых участников или соратников группы LockBit, максимальная сумма вознаграждения может достигать 10 миллионов долларов; одновременно, чтобы поощрить раскрытие атакующих действий ее участников )Affiliates(, предлагается дополнительное вознаграждение в размере до 5 миллионов долларов.
Сегодня LockBit был взломан и, в свою очередь, в канале выставил цену на поиск улик о нападающих — словно механизм "охоты за головами" обернулся против них самих, что вызывает смешанные чувства, и еще больше выставляет на показ недостатки и хаос их внутренней системы безопасности.
) Резюме
LockBit активно действует с 2019 года и является одной из самых опасных групп по программам-вымогателям в мире, сумма вымогательства (включая нераскрытые данные) оценивается как минимум в 150 миллионов долларов. Модель RaaS (вымогательство как услуга) привлекает большое количество участников для осуществления атак. Несмотря на то, что эта группа столкнулась с правоприменительными мерами «Operation Cronos» в начале 2024 года, она по-прежнему остается активной. Это событие стало значительным вызовом для внутренней системы безопасности LockBit, что может повлиять на ее репутацию, доверие участников и стабильность операций. В то же время это демонстрирует тенденцию «обратных атак» против киберпреступных организаций в киберпространстве.
Команда безопасности Slow Mist рекомендует всем сторонам:
Это событие еще раз напоминает нам, что даже самые технически продвинутые хакерские группы не могут полностью избежать кибератак. Это также одна из причин, по которой специалисты по безопасности продолжают бороться.