黑客被黑：LockBit 遭入侵事件分析

背景：谁是LockBit？

LockBit 是一个活跃的勒索软件即服务 (RaaS) 运营组织，于 2019 年 9 月首次出现。最初，由于其在加密文件后附加的“.abcd”扩展名，它被称为“ABCD 勒索软件”。该组织以其技术复杂性、高度自动化和高效的勒索策略而闻名。它对全球的企业、政府、教育机构和医疗保健系统发起了广泛的攻击，并已被多个国家安全机构指定为高级持续性威胁 (APT)。我们此前去年披露了有关该组织的信息。

LockBit 经历了几个版本的演变：

• LockBit 1.0 (2019): 通过“.abcd”扩展名识别；支持 Windows 平台；使用 RSA + AES 加密算法；以其快速执行而闻名。
• LockBit 2.0 (2021): 引入了自动化传播功能，以提高勒索效率。
• LockBit 3.0 / LockBit Black (2022): 具有模块化设计和强大的反分析能力；还推出了第一个漏洞赏金计划，奖励外部研究人员测试勒索软件。
• LockBit Green（据称是 2023 年的版本）： 据传已整合了现已解散的 Conti 勒索软件团伙的部分代码。

作为典型的 RaaS 模型，LockBit 的核心开发人员提供勒索软件工具包，而“联盟成员”则执行实际的攻击、渗透和部署。利润被分成，攻击者通常获得 70% 的赎金。LockBit 还使用一种极具胁迫性的“双重勒索”策略：加密文件的同时也窃取数据，并威胁说如果不支付赎金就发布这些数据，并将被盗数据发布在专门的泄露站点上。

在技术方面，LockBit 同时支持 Windows 和 Linux 系统，采用多线程加密和 AES-NI 指令以实现高性能，并且可以在内部网络中横向移动（例如，通过 PSExec 或 RDP 暴力破解）。在加密之前，它会主动关闭数据库并删除备份和关键服务。

LockBit 的攻击通常是系统性的，并且表现出经典的 APT 特征。一般的攻击链如下：

• 初始访问（网络钓鱼邮件、利用漏洞、RDP 凭据薄弱）
• 横向移动（使用 Mimikatz、Cobalt Strike 等工具）
• 特权提升
• 数据窃取
• 文件加密
• 赎金通知发送
• 在泄露站点上发布数据（如果未支付赎金）

LockBit 是几起备受瞩目的事件的幕后黑手：

• 2022 年，它攻击了意大利税务局，影响了数百万纳税人的数据。
• 它声称对入侵加拿大 SickKids 医院负责，后来道歉并提供了解密工具。
• 许多制造商，包括国防和医疗领域的制造商，都已被 LockBit 加密。
• 在 2022 年第二季度，LockBit 占全球勒索软件攻击的 40% 以上。
• 该组织已影响了 1,000 多家公司——远远超过了 Conti 和 REvil 等较早的组织。
• 它的勒索成功率非常高，2022 年超过一半的 1 亿美元赎金需求已成功支付。

然而，即使是 LockBit 也并非是无懈可击的。2024 年 2 月 19 日，在英国国家犯罪调查局、联邦调查局、欧洲刑警组织和国际刑警组织协调一致的执法行动“克洛诺斯行动”中，其网站被查封。几名 LockBit 成员被逮捕或被列入通缉名单，但核心开发团队并未被完全瓦解。一些勒索软件样本仍然在暗网上活跃，并且仍然被附属团体使用。

最新消息：LockBit 的网站遭到黑客攻击

今天，SlowMist 收到情报称 LockBit 的 onion 站点遭到黑客攻击。攻击者不仅控制了其管理面板，还发布了一个包含数据库的打包文件。因此，LockBit 的数据库被泄露，包括比特币地址、私钥、聊天记录和相关公司——高度敏感的信息。

更具戏剧性的是，黑客在被篡改的网站上留下了一条神秘的信息：

“不要犯罪 犯罪不好 犯罪不好 xoxo 来自布拉格”

此后不久，泄露的数据被上传到 GitHub 等平台并迅速传播。

LockBit 的官方频道稍后用俄语回复。以下是对话的大致翻译：

Rey：LockBit 被攻击了吗？有什么消息吗？

LockBitSupp：只有带有授权码的轻量级面板被攻破。没有解密器被盗，也没有公司数据受到影响。

Rey：但是这意味着比特币地址、聊天记录和密钥被泄露…… 这会损害你的声誉，对吧？

Rey：储物柜构建器或源代码是否被盗？

Rey：你们会恢复运营吗？如果是，需要多长时间？

LockBitSupp：只有比特币地址和聊天记录被泄露。没有解密器被盗。是的，这会影响我们的声誉，但在修补系统后重新启动也会。源代码没有被盗。我们已经在努力恢复。

Rey：明白了。祝你好运。感谢你的回复。

泄露分析

SlowMist 立即下载了泄露的文件（某些图像来自 2024 年泄露的仪表板和源代码的屏幕截图，仅用于内部研究目的；所有备份均已及时删除）。我们对目录结构、代码文件和数据库内容进行了初步分析，旨在重建 LockBit 的内部平台架构及其功能组件。

从目录结构来看，这似乎是 LockBit 使用的基于 PHP 的轻量级受害者管理平台。

目录结构分析：

- 诸如`api/`、`ajax/`、`services/`、`models/`和`workers/`之类的文件夹表明具有一定的模块化程度，但不遵循 Laravel 等常见框架的约定（例如，`app/Http/Controllers`）。
- 诸如`DB.php`、`prodDB.php`、`autoload.php`和`functions.php`之类的文件指示手动管理数据库连接和函数加载。
- `vendor/`和`composer.json`的存在表明使用了 Composer——这意味着可能引入了第三方库，尽管框架本身似乎是定制构建的。
- 诸如`victim/`和`notifications-host/`之类的文件夹名称是可疑的——尤其是在安全上下文中。

因此，我们推测来自“布拉格”的黑客可能利用 PHP 0-day 或 1-day 漏洞来入侵 Web 后端和管理控制台。

以下是先前泄露的管理控制台。

历史聊天记录截图：

查看红色框中的内容：

受害者是否使用 co… Coinbase 支付了赎金？

此外，泄露的数据库包含大约 60,000 个 BTC 地址：

泄露的数据库中有 75 个用户帐户凭据：

有趣的赎金谈判聊天：

随机的成功付款记录：

订单地址：

我们使用 MistTrack 来追踪比特币接收地址：

洗钱流程相对清晰，最终流入加密货币交易所。由于篇幅限制，MistTrack 将继续分析这些加密地址。如果你有兴趣，请在 X 上关注我们：@MistTrack_io

LockBit 发布了关于该事件的更新声明，大致翻译如下：

“2025 年 5 月 7 日，我们一个具有自动注册功能的轻量级面板遭到入侵。任何人都可以绕过身份验证并直接访问它。数据库被盗，但没有涉及受害者公司的解密器或敏感数据。我们正在调查确切的入侵方法，并已启动重建过程。主控制面板和博客仍然可以运行。”

“据说攻击者是来自布拉格的名为‘xoxo’的人。如果你能提供关于此人身份的准确可靠的信息——我愿意为此付费。”

LockBit 的回应颇具讽刺意味。此前，美国国务院发布了高达 1000 万美元的赏金，以奖励提供导致识别或定位 LockBit 核心成员或关键合作者的信息。另外还提供了 500 万美元，以激励举报 LockBit 关联公司的攻击活动。

现在，LockBit 本身遭到了黑客攻击，并正在转向赏金追捕策略来寻找攻击者——实际上是被自己的奖励机制所反噬。这既具有讽刺意味，又暴露了该组织内部存在的重大安全漏洞和内部混乱。

总结

自 2019 年出现以来，LockBit 已成为世界上最危险的勒索软件组织之一，估计总赎金收入（包括公开的和未公开的）超过 1.5 亿美元。其勒索软件即服务 (RaaS) 模式吸引了大量联盟成员参与攻击。尽管该组织在 2024 年初的克洛诺斯行动中遭受了执法打击，但它仍然活跃。

此次事件标志着 LockBit 内部系统安全面临重大挑战，这可能会影响其声誉、联盟成员信任度和运营稳定性。与此同时，它反映了网络空间中针对网络犯罪组织“反击”的新兴趋势。

SlowMist 安全团队的建议：

• 持续的威胁情报监控：密切跟踪 LockBit 的恢复工作和潜在的变体发布。
• 暗网监控：实时监控相关论坛、网站和情报来源，以防止二次泄漏和数据滥用。
• 加强 RaaS 威胁防御：审查贵组织的风险敞口，并加强对 RaaS 工具链的识别和阻止。
• 增强事件响应机制：如果与贵组织存在直接或间接关联，请立即向监管机构报告并启动紧急协议。
• 加密交易跟踪和反欺诈协调：如果发现可疑的支付路径流入你的平台，请加强反洗钱控制，并与区块链监控工具协调。

此次事件严厉地提醒我们，即使是技术最强的黑客组织也无法免受网络攻击。这是网络安全专业人员必须坚持战斗的众多原因之一——坚持不懈地战斗。

关于 SlowMist

SlowMist 是一家区块链安全公司，成立于 2018 年 1 月。该公司由一个拥有超过十年网络安全经验的团队创立，旨在成为全球力量。我们的目标是为每个人尽可能地保护区块链生态系统。我们现在是一家著名的国际区块链安全公司，曾参与过各种知名项目，例如 HashKey Exchange、OSL、MEEX、BGE、BTCBOX、Bitget、BHEX.SG、OKX、Binance、HTX、Amber Group、Crypto.com 等。

SlowMist 提供各种服务，包括但不限于安全审计、威胁信息、防御部署、安全顾问和其他安全相关服务。我们还提供 AML（反洗钱）软件、MistEye（安全监控）、SlowMist Hacked（加密黑客档案）、FireWall.x（智能合约防火墙）和其他 SaaS 产品。我们与国内外公司建立了合作伙伴关系，例如 Akamai、BitDefender、RC²、TianJi Partners、IPIP 等。我们在加密货币犯罪调查方面的广泛工作已受到国际组织和政府机构的引用，包括联合国安全理事会和联合国毒品和犯罪问题办公室。

通过提供为各个项目量身定制的全面安全解决方案，我们可以识别风险并防止它们发生。我们的团队能够发现并发布几个高风险的区块链安全漏洞。通过这样做，我们可以提高人们的意识并提高区块链生态系统中的安全标准。

• 原文链接： slowmist.medium.com/when...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～