
黑吃黑:全球头号勒索团伙 LockBit 被黑事件分析
前情回顾:LockBit 是谁?
LockBit 是一个活跃的勒索软件即服务(RaaS,Ransomware-as-a-Service) 组织,最早出现在 2019 年 9 月,由于最初版本在加密文件时会添加“.abcd”后缀,它曾被称为“ABCD 勒索软件”。该团伙以其技术成熟、高度自动化、勒索效率高而著称,在全球范围内发起了大量针对企业、政府、教育和医疗机构的攻击,已被多个国家安全机构列为高级持续性威胁(APT) 组织。我们曾在去年披露过这个组织。 LockBit 的技术持续迭代,发展出多个版本: LockBit 1.0 (2019):以“.abcd”加密后缀为特征,支持 Windows 平台,使用 RSA + AES 算法加密,执行速度快; LockBit 2.0 (2021):引入自动化传播能力,提高勒索效率; LockBit 3.0 / LockBit Black (2022):模块化设计,具备强抗分析能力,还首次推出了漏洞赏金计划,向外部安全研究者悬赏测试勒索软件; LockBit Green(传闻中的 2023 版本):疑似整合了已解散的 Conti 勒索团伙部分代码。 作为 RaaS 模式的典型代表,LockBit 通过核心开发者提供勒索软件工具包,吸引“加盟者(Affiliates)” 负责具体攻击、渗透与部署,并通过赎金分成来激励合作,一般攻击者可获分成 70%。此外,其“双重勒索”策略也极具压迫性:一方面加密文件,另一方面窃取数据并威胁公开,一旦受害者拒绝支付赎金,数据将会被挂在其专属泄露站点上。 技术层面上,LockBit 支持 Windows 和 Linux 系统,使用多线程加密技术与 AES-NI 指令集实现高性能加密,具备内网横向移动能力(如使用 PSExec、RDP 爆破等),加密前还会主动关闭数据库、删除备份等关键服务。 LockBit 的攻击通常高度系统化,具备典型的 APT 特征。整个攻击链条大致如下: 初始访问(钓鱼邮件、漏洞利用、RDP 弱口令) 横向移动(Mimikatz、Cobalt Strike 等) 权限提升 数据窃取 文件加密 弹出勒索信息 公布信息至泄露站点(若未付款) LockBit 活跃期间曾掀起多起轰动事件: 2022 年攻击意大利税务局,影响数百万纳税人数据; 曾声称入侵加拿大 SickKids 医院,后道歉并提供解密器; 多起制造商(如防务、医疗设备企业)遭 LockBit 加密; 2022 年第二季度,占全球勒索攻击的 40% 以上; 累计影响超过 1000 家企业,远超 Conti、REvil 等老牌团伙; 勒索成功率极高,2022 年其提出的 1 亿美元赎金中有超过一半成功拿到。 不过,即便强如 LockBit,也并非无懈可击。2024 年 2 月 19 日,LockBit 网站在英国国家犯罪局、美国联邦调查局、欧洲刑警组织和国际警察机构联盟的联合执法行动中被查封,多名 LockBit 成员被逮捕或通缉,但核心开发团队仍未被完全瓦解,部分样本仍在暗网上流传,被分支团体继续使用。 今日,慢雾(SlowMist) 收到情报:LockBit 的 onion 站点被黑,攻击者不仅接管了其控制面板,还放出了一份包含数据库的打包文件,此举导致 LockBit 的数据库被泄露,包括比特币地址、私钥、聊天记录以及其关联公司等敏感信息。 更具戏剧性的是,黑客在被篡改的站点上留下了意味深长的一句话:“不要犯罪,犯罪是不好的,来自布拉格。” 不久后,相关数据被上传至 GitHub 等平台,并迅速扩散。 LockBit 官方随后在其频道以俄语作出回应,大概意思如下: Rey:LockBit 被黑了?有进展吗? LockBitSupp:只被攻破了带有授权码的轻量级控制面板,没有解密器被盗,也没有公司数据受损。 Rey:是,但这意味着比特币地址、对话内容和密钥等被泄露了…这也会影响声誉吧? Rey:Locker Builder(勒索构建器)或者源代码有没有被盗? Rey:你们还会重新上线工作吗?如果会,需要多长时间? LockBitSupp:只有比特币地址和对话内容被盗,没有解密器被盗。是的,这确实影响声誉,但修复后的重新上线也会影响声誉。源代码没有被盗。我们已经在着手恢复工作了。 Rey:好的,祝你们好运。谢谢你的回答。 慢雾(SlowMist) 第一时间下载了相关泄露文件(部分图片源自 2024 年泄露的看板和源码截图,仅用于内部研究用途,备份已及时删除)。我们对目录结构、代码文件和数据库内容进行了初步分析,试图还原 LockBit 内部运作平台的架构及其功能组件。 从目录结构来看,这像一种轻量级 PHP 架构编写的 LockBit 受害者管理平台。 目录结构分析: api/、ajax/、services/、models/、workers/ 显示项目有一定的模块化,但不符合 Laravel 等框架约定的结构(如 app/Http/Controllers); DB.php、prodDB.php、autoload.php、functions.php 表明数据库和函数引导是手动管理的; vendor/ + composer.json 使用了 Composer,说明可能引入了第三方库,但整个框架可能是自己写的; victim/、notifications-host/ 等文件夹名比较可疑(特别是在安全研究中)。 所以我们推测可能这位来自“布拉格”的黑客应该是使用 PHP 0 day 或 1 day 搞定 Web 站点和控制台。 历史泄漏管理控制台如下: 部分历史聊天沟通截图信息: 我们看下红框圈出来的信息:受害者 CEO 从 co … coinbase?付勒索款项? 同时,泄露的数据库还涉及约 60,000 个 BTC 地址: 泄露的数据库中有 75 个用户的账号密码: 有趣的讨价还价聊天: 随机找支付成功的订单: 订单地址: 并使用 MistTrack 对比特币收款地址进行追踪: 洗钱资金流向比较清晰,最终流入交易平台。受篇幅所限,后续 MistTrack 会针对加密货币地址进行更多分析,感兴趣可关注 X:@MistTrack_io。 目前,LockBit 官方也就此次事件发布了最新声明。大致翻译如下: “2025 年 5 月 7 日,我们的一个带有自动注册功能的轻量级控制面板遭到入侵,任何人都可以绕过授权直接访问该面板。数据库被盗,但没有涉及解密器或受害公司的敏感数据。目前我们正在调查具体入侵方式,并启动重建流程。主控面板和博客仍在正常运行。” “据称此次攻击者为一名叫‘xoxo’的人,来自布拉格。如果你能提供关于他身份的确切信息——只要消息可靠,我愿意出钱购买。” LockBit 的这番回应颇具讽刺意味。在此前,美国国务院曾发布悬赏通告,为获取 LockBit 团伙核心成员或关键协作者的身份与位置信息,最高悬赏可达 1,000 万美元;同时,为鼓励揭露其加盟者(Affiliates) 的攻击行为,另提供最高 500 万美元的赏金。 如今,LockBit 被黑,反过来在频道中开价寻找攻击者线索——仿佛将“赏金猎人机制”反噬在了自己身上,令人哭笑不得,也进一步暴露出其内部安全体系的漏洞与混乱。 LockBit 自 2019 年起活跃,是全球最危险的勒索软件团伙之一,累计勒索赎金估算(包括未公开数据)至少 1.5 亿美元。其 RaaS(勒索即服务)模型吸引大量加盟者参与攻击。尽管该团伙在 2024 年初曾遭遇“Operation Cronos”执法打击,但依然保持活跃。此次事件标志着 LockBit 内部系统安全受到重大挑战,可能影响其信誉、加盟者信任度与运营稳定性。同时,也展现出网络空间中针对网络犯罪组织的“反向攻击”趋势。 慢雾安全团队建议各方: 持续情报监控:密切跟踪 LockBit 的重建动态和潜在变种版本; 关注暗网动向:实时监测相关论坛、站点和情报源,防止二次泄露与数据滥用; 强化 RaaS 威胁防御:梳理自身暴露面,加强对 RaaS 工具链的识别与阻断机制; 组织响应机制完善:若发现与自身组织存在直接或间接关联,建议立即向主管机构通报并启动应急预案; 资金追踪与防诈联动:如发现有可疑支付路径流入自身平台,应结合链上监控系统加强反洗钱防范。 本次事件再次提醒我们,即便是技术能力强悍的黑客组织,也无法完全免于网络攻击。这也是安全从业者持续战斗的理由之一。
突发事件:LockBit 站点被黑
泄露分析
总结
比推快讯
更多 >>- Vitalik Buterin 联合发起 EIP-7983 提案,拟增强网络抗 DoS 攻击能力
- 美国党构想曝光:马斯克称打破两党垄断并不难
- 陈茂波:香港上市 ETP 锚定资产包括数字资产,也有追踪 Coinbase 等美股产品
- 近期沪深两市多家上市公司频繁被询问是否布局稳定币业务
- Endless Clouds 基金会:END 转账功能拟于 24 小时内生效
- 比特币于 65 分钟前在高度 904263 处挖出空区块
- 分析:马斯克成立“美国党”或需数年时间来解决法律和经济层面的困难
- 本周美国以太坊现货 ETF 净流入 2.191 亿美元
- 观点:马斯克虽有巨额财富和影响力,但历史上美国第三党很难成功
- 转移逾 8 万枚 BTC 的远古巨鲸疑似升级旧钱包,暂无抛售迹象
- 前 DigitalMint 勒索软件谈判专家被指控与黑客合谋敲诈受害者,遭美国司法部调查
- Toncoin 与阿联酋合作,向 TON 质押者提供 10 年黄金签证
- Polymarket 上预测WLFI 代币上线首日后 FDV 超过 130 亿美元概率达 56%
- Bankless 联创:以太坊 MEV 最小化投资或助力传统金融采纳
- Hash Epoch 平台代币 HEST 将于 7 月 9 日全网上线交易
- Matrixport 近 1 小时从 Binance 提取 1500 万 USDT
- 印度捣毁“最多产的暗网毒品集团”,嫌疑人使用门罗币洗钱
- 观点:因加密禁令没收中国用户 FTX 索赔资金缺乏法律依据,FTX 债权以美元计价并结算
- ZachXBT:不承接 Sui 生态相关案件,在该生态系统未得到支持
- 沉寂两年的鲸鱼向 Kraken 转入 230 枚 ETH,价值约 57.9 万美元
- 某巨鲸清仓 21.6 万枚 HYPE,亏损 29 万美元
- Miller Value Partners 首席投资官 Bill Miller IV 质疑比特币征税合理性
- Binance Alpha 昨日交易量报 4.586 亿美元,BR、KOGE、CARV 分列前三
- 马斯克暗示美国党将参与明年中期选举
- RootData:BB 将于一周后解锁价值约 385 万美元的代币
- 某鲸鱼半小时前从 Binance 提取 3000 枚 ETH,其 6 月 10 日以来累计建仓 7001 枚 ETH
- 3 月以来四次做空 BTC 鲸鱼加仓空单,现浮盈已达 1360 万美元
- 区块链珠宝品牌 Bitring 全球扩张,门店选址 LVMH 旗下商场
- 某聪明钱今晨多转空 ETH,现持有价值 386 万美元 25 倍空单
- 马斯克回应“参选时间”为明年
- SOON、BMT、CHESS 等代币于今晨 1 时同时跳水,现跌幅最大超 37%
- 某鲸鱼近半小时向 Hyperliquid 存入 1000 万 USDC 以买入 HYPE 现货并做多 HYPE
- 世界银行将 2025 年全球 GDP 增速预期下调至 2.3%,为 5 年来最低水平
- James Wynn 曾收费拟为 OnlyFans 女主播 meme 币做推广
- 马斯克回应为何对特朗普由爱转恨:赤字会使美国破产
- 过去 7 天 NFT 交易额环比上涨 10.44%达 1.365 亿美元,其中 Polygon 网络交易额涨超 50%
- 1inch 投资基金 5 小时前购买 965.2 万枚 1INCH,价格 0.18 美元
- 最近 24 小时 LetsBonk.fun 发射代币首次多于 Pump.fun
- 疑似同一实体地址购入 350 万枚 FARTCOIN,价值约 426 万美元
- 马斯克在社交媒体上宣布成立“美国党”
- 分析:美国经济表现强劲,纳斯达克指数领跑全球市场
- 新加坡以 2150 万美元罚款收官 22 亿美元洗钱案,涉加密、现金与房产
- 美国特勤局在过去十年追回价值 4 亿美元的数字资产
- 数据:过去 24 小时全网爆仓 7017.21 万美元,多单爆仓 4639.57 万美元,空单爆仓 2377.64 万美元
- 以太坊 L2 TVL 回升至 330.8 亿美元,7 日涨幅 2.16%
- Coinbase 研究主管:所谓“史上 ETH 最大空头头寸”系严重夸大
- 说唱歌手 Drake 新歌中提及比特币
- 灰度:相信以太坊能够从美国加密货币友好政策转变中受益
- 下周宏观展望:特朗普关税“终审”倒计时
- 以太坊社区基金:致力于推动 ETH 达到 1 万美元,即将发布后续工作详情
比推专栏
更多 >>观点
比推热门文章
- Vitalik Buterin 联合发起 EIP-7983 提案,拟增强网络抗 DoS 攻击能力
- 美国党构想曝光:马斯克称打破两党垄断并不难
- 陈茂波:香港上市 ETP 锚定资产包括数字资产,也有追踪 Coinbase 等美股产品
- 近期沪深两市多家上市公司频繁被询问是否布局稳定币业务
- Endless Clouds 基金会:END 转账功能拟于 24 小时内生效
- 比特币于 65 分钟前在高度 904263 处挖出空区块
- 分析:马斯克成立“美国党”或需数年时间来解决法律和经济层面的困难
- 本周美国以太坊现货 ETF 净流入 2.191 亿美元
- 观点:马斯克虽有巨额财富和影响力,但历史上美国第三党很难成功
- 转移逾 8 万枚 BTC 的远古巨鲸疑似升级旧钱包,暂无抛售迹象