
黑吃黑:全球头号勒索团伙 LockBit 被黑事件分析
前情回顾:LockBit 是谁?
LockBit 是一个活跃的勒索软件即服务(RaaS,Ransomware-as-a-Service) 组织,最早出现在 2019 年 9 月,由于最初版本在加密文件时会添加“.abcd”后缀,它曾被称为“ABCD 勒索软件”。该团伙以其技术成熟、高度自动化、勒索效率高而著称,在全球范围内发起了大量针对企业、政府、教育和医疗机构的攻击,已被多个国家安全机构列为高级持续性威胁(APT) 组织。我们曾在去年披露过这个组织。 LockBit 的技术持续迭代,发展出多个版本: LockBit 1.0 (2019):以“.abcd”加密后缀为特征,支持 Windows 平台,使用 RSA + AES 算法加密,执行速度快; LockBit 2.0 (2021):引入自动化传播能力,提高勒索效率; LockBit 3.0 / LockBit Black (2022):模块化设计,具备强抗分析能力,还首次推出了漏洞赏金计划,向外部安全研究者悬赏测试勒索软件; LockBit Green(传闻中的 2023 版本):疑似整合了已解散的 Conti 勒索团伙部分代码。 作为 RaaS 模式的典型代表,LockBit 通过核心开发者提供勒索软件工具包,吸引“加盟者(Affiliates)” 负责具体攻击、渗透与部署,并通过赎金分成来激励合作,一般攻击者可获分成 70%。此外,其“双重勒索”策略也极具压迫性:一方面加密文件,另一方面窃取数据并威胁公开,一旦受害者拒绝支付赎金,数据将会被挂在其专属泄露站点上。 技术层面上,LockBit 支持 Windows 和 Linux 系统,使用多线程加密技术与 AES-NI 指令集实现高性能加密,具备内网横向移动能力(如使用 PSExec、RDP 爆破等),加密前还会主动关闭数据库、删除备份等关键服务。 LockBit 的攻击通常高度系统化,具备典型的 APT 特征。整个攻击链条大致如下: 初始访问(钓鱼邮件、漏洞利用、RDP 弱口令) 横向移动(Mimikatz、Cobalt Strike 等) 权限提升 数据窃取 文件加密 弹出勒索信息 公布信息至泄露站点(若未付款) LockBit 活跃期间曾掀起多起轰动事件: 2022 年攻击意大利税务局,影响数百万纳税人数据; 曾声称入侵加拿大 SickKids 医院,后道歉并提供解密器; 多起制造商(如防务、医疗设备企业)遭 LockBit 加密; 2022 年第二季度,占全球勒索攻击的 40% 以上; 累计影响超过 1000 家企业,远超 Conti、REvil 等老牌团伙; 勒索成功率极高,2022 年其提出的 1 亿美元赎金中有超过一半成功拿到。 不过,即便强如 LockBit,也并非无懈可击。2024 年 2 月 19 日,LockBit 网站在英国国家犯罪局、美国联邦调查局、欧洲刑警组织和国际警察机构联盟的联合执法行动中被查封,多名 LockBit 成员被逮捕或通缉,但核心开发团队仍未被完全瓦解,部分样本仍在暗网上流传,被分支团体继续使用。 今日,慢雾(SlowMist) 收到情报:LockBit 的 onion 站点被黑,攻击者不仅接管了其控制面板,还放出了一份包含数据库的打包文件,此举导致 LockBit 的数据库被泄露,包括比特币地址、私钥、聊天记录以及其关联公司等敏感信息。 更具戏剧性的是,黑客在被篡改的站点上留下了意味深长的一句话:“不要犯罪,犯罪是不好的,来自布拉格。” 不久后,相关数据被上传至 GitHub 等平台,并迅速扩散。 LockBit 官方随后在其频道以俄语作出回应,大概意思如下: Rey:LockBit 被黑了?有进展吗? LockBitSupp:只被攻破了带有授权码的轻量级控制面板,没有解密器被盗,也没有公司数据受损。 Rey:是,但这意味着比特币地址、对话内容和密钥等被泄露了…这也会影响声誉吧? Rey:Locker Builder(勒索构建器)或者源代码有没有被盗? Rey:你们还会重新上线工作吗?如果会,需要多长时间? LockBitSupp:只有比特币地址和对话内容被盗,没有解密器被盗。是的,这确实影响声誉,但修复后的重新上线也会影响声誉。源代码没有被盗。我们已经在着手恢复工作了。 Rey:好的,祝你们好运。谢谢你的回答。 慢雾(SlowMist) 第一时间下载了相关泄露文件(部分图片源自 2024 年泄露的看板和源码截图,仅用于内部研究用途,备份已及时删除)。我们对目录结构、代码文件和数据库内容进行了初步分析,试图还原 LockBit 内部运作平台的架构及其功能组件。 从目录结构来看,这像一种轻量级 PHP 架构编写的 LockBit 受害者管理平台。 目录结构分析: api/、ajax/、services/、models/、workers/ 显示项目有一定的模块化,但不符合 Laravel 等框架约定的结构(如 app/Http/Controllers); DB.php、prodDB.php、autoload.php、functions.php 表明数据库和函数引导是手动管理的; vendor/ + composer.json 使用了 Composer,说明可能引入了第三方库,但整个框架可能是自己写的; victim/、notifications-host/ 等文件夹名比较可疑(特别是在安全研究中)。 所以我们推测可能这位来自“布拉格”的黑客应该是使用 PHP 0 day 或 1 day 搞定 Web 站点和控制台。 历史泄漏管理控制台如下: 部分历史聊天沟通截图信息: 我们看下红框圈出来的信息:受害者 CEO 从 co … coinbase?付勒索款项? 同时,泄露的数据库还涉及约 60,000 个 BTC 地址: 泄露的数据库中有 75 个用户的账号密码: 有趣的讨价还价聊天: 随机找支付成功的订单: 订单地址: 并使用 MistTrack 对比特币收款地址进行追踪: 洗钱资金流向比较清晰,最终流入交易平台。受篇幅所限,后续 MistTrack 会针对加密货币地址进行更多分析,感兴趣可关注 X:@MistTrack_io。 目前,LockBit 官方也就此次事件发布了最新声明。大致翻译如下: “2025 年 5 月 7 日,我们的一个带有自动注册功能的轻量级控制面板遭到入侵,任何人都可以绕过授权直接访问该面板。数据库被盗,但没有涉及解密器或受害公司的敏感数据。目前我们正在调查具体入侵方式,并启动重建流程。主控面板和博客仍在正常运行。” “据称此次攻击者为一名叫‘xoxo’的人,来自布拉格。如果你能提供关于他身份的确切信息——只要消息可靠,我愿意出钱购买。” LockBit 的这番回应颇具讽刺意味。在此前,美国国务院曾发布悬赏通告,为获取 LockBit 团伙核心成员或关键协作者的身份与位置信息,最高悬赏可达 1,000 万美元;同时,为鼓励揭露其加盟者(Affiliates) 的攻击行为,另提供最高 500 万美元的赏金。 如今,LockBit 被黑,反过来在频道中开价寻找攻击者线索——仿佛将“赏金猎人机制”反噬在了自己身上,令人哭笑不得,也进一步暴露出其内部安全体系的漏洞与混乱。 LockBit 自 2019 年起活跃,是全球最危险的勒索软件团伙之一,累计勒索赎金估算(包括未公开数据)至少 1.5 亿美元。其 RaaS(勒索即服务)模型吸引大量加盟者参与攻击。尽管该团伙在 2024 年初曾遭遇“Operation Cronos”执法打击,但依然保持活跃。此次事件标志着 LockBit 内部系统安全受到重大挑战,可能影响其信誉、加盟者信任度与运营稳定性。同时,也展现出网络空间中针对网络犯罪组织的“反向攻击”趋势。 慢雾安全团队建议各方: 持续情报监控:密切跟踪 LockBit 的重建动态和潜在变种版本; 关注暗网动向:实时监测相关论坛、站点和情报源,防止二次泄露与数据滥用; 强化 RaaS 威胁防御:梳理自身暴露面,加强对 RaaS 工具链的识别与阻断机制; 组织响应机制完善:若发现与自身组织存在直接或间接关联,建议立即向主管机构通报并启动应急预案; 资金追踪与防诈联动:如发现有可疑支付路径流入自身平台,应结合链上监控系统加强反洗钱防范。 本次事件再次提醒我们,即便是技术能力强悍的黑客组织,也无法完全免于网络攻击。这也是安全从业者持续战斗的理由之一。
突发事件:LockBit 站点被黑
泄露分析
总结
比推快讯
更多 >>- Bithumb 将上线 Spark (SPK)韩元交易对
- Gate 发布新一期储备金报告,储备金总值达 104.53 亿美元
- Plasma 已将约 9.7 亿美元公募存款存入 Aave,用户预计可在主网上线后领取收益
- Binance Alpha 积分达 240 将可获得 2000 枚 SPK 空投
- 法官: Alex Mashinsky 不会从 Celsius 破产案中分得一杯羹
- Matrixport:过去八周比特币 ETF 净流入 112 亿美元,整体看涨逻辑仍然成立
- SBF 现身旧金山热卖讽刺音乐剧,角色嘲讽硅谷文化
- OKX 宣布正式进入德国和波兰市场
- 山寨币季节指数降至 24
- 机构:美联储将继续关注数据,强调不确定性
- Moonbeam 团队发布新项目 DataHaven 代币经济学:无 VC;50%分配给社区
- The Blockchain Group 增资约 720 万欧元以推进其比特币储备公司战略
- Plasma:存款上限将不再提高,总上限为 10 亿美元
- 加密市场贪婪情绪升温,今日恐慌与贪婪指数为 68
- 以色列官员:特朗普没有向以色列施压,要求其停止对伊朗的军事行动
- 以色列驻莫斯科大使:以色列希望在谈判前摧毁伊朗核设施
- BitMEX 创始人 Arthur Hayes 警告:新稳定币 IPO 如同“烫手山芋”
- 分析师:比特币接近 11 万美元时部分投资者可能获利了结,从而引发短期回调
- 数据:某巨鲸卖出 269 万枚 ONDO,获利 12.3 万美元
- 韩国法院判决 Haru Invest 高管欺诈无罪,强调不影响民事赔偿责任
- 市场消息:特朗普今日将召开紧急会议,讨论美国在中东局势中的立场
- Interactive Strength 完成 5500 万美元初始投资,启动加密财库策略并开始收购 FET
- SolvBTC Vault 正式上线,BTC 生态的 AI 收益登陆 Sei
- Haru Invest CEO 被判无罪,摆脱 6.5 亿美元诈骗指控
- 数据:USDC Treasury 于 Solana 上销毁超 6900 万枚 USDC
- Matrixport 关联地址向币安存入 1.23 万枚 ETH,价值约 3180 万美元
- 对前美联储内部人士进行的一项新调查显示,利率前景趋于温和保守
- Infini 暂停所有卡服务,开卡费将在 10 个工作日内退回账户
- Infini 宣布停止 Infini Card 服务,核心账户功能不受影响
- 日本央行:全球贸易政策的未来走向极不确定
- 数字身份项目 Humanity 上线 Android,支持手掌扫描验证
- 德州比特币储备法案周日迎最后期限,州长不作为将自动生效
- 日本央行维持利率不变
- 日本央行:将减少每月购买国债规模,预计 2027 年 1 月至 3 月的购买总额将约为 2 万亿日元
- 疑似 Marathon 地址向 Binance 存入 790 枚 BTC,约 8464 万美元
- Binance Alpha 日交易量持续下降,昨日降至 7.49 亿美元
- Paradigm 呼吁陪审团谨慎裁定 Tornado Cash 案
- RootData:SOSO 将于一周后解锁价值约 349 万美元的代币
- James Wynn:若发生黑天鹅事件,将投入所有资金进行布局
- 特朗普团队提议本周与伊朗就核协议、停火进行谈判
- Glassnode:比特币 25 Delta Skew 翻转,显示强风险厌恶情绪
- SEC 与 Ripple 共同请求上诉法院继续暂停审理,待地方法院裁定
- Gate Alpha 昨日交易量排名前三的币种:AURA、SHYGUY、FARTCAT
- SRM 启动 TRX 战略储备后宣布人事变动,Weike Sun 就任董事会主席
- 美国总统特朗普已指示其团队成员尽快与伊朗方面会面
- Ark Invest 减持 5170 万美元 Circle 股票,股价创 151 美元新高
- 机器人智能平台 PrismaX 完成 1100 万美元种子轮融资,a16z 领投
- R2 首轮测试网结束累计 29 万用户参与,最终测试网将于 6 月 23 日启动
- OpenAI 希望微软在重组后的部门中拥有约 33% 的股份,以换取其放弃未来利润分配权
- Hash Epoch 公布 Token 发行计划,白名单分配完成,IDO 即将启动
比推专栏
更多 >>观点
比推热门文章
- Bithumb 将上线 Spark (SPK)韩元交易对
- Gate 发布新一期储备金报告,储备金总值达 104.53 亿美元
- Plasma 已将约 9.7 亿美元公募存款存入 Aave,用户预计可在主网上线后领取收益
- Binance Alpha 积分达 240 将可获得 2000 枚 SPK 空投
- 法官: Alex Mashinsky 不会从 Celsius 破产案中分得一杯羹
- Matrixport:过去八周比特币 ETF 净流入 112 亿美元,整体看涨逻辑仍然成立
- SBF 现身旧金山热卖讽刺音乐剧,角色嘲讽硅谷文化
- OKX 宣布正式进入德国和波兰市场
- 山寨币季节指数降至 24
- 机构:美联储将继续关注数据,强调不确定性