LockBit é um ransomware como serviço ativo ( RaaS, que apareceu pela primeira vez em setembro de 2019. Devido à versão inicial adicionar o sufixo ".abcd" ao criptografar arquivos, foi chamado de "ransomware ABCD". O grupo é conhecido por sua tecnologia madura, alta automação e eficiência em extorsão, tendo lançado muitos ataques a empresas, governos, instituições educacionais e de saúde em todo o mundo. Foi classificado por várias agências de segurança de países como uma organização de ameaça persistente avançada ) APT (. Já divulgamos esse grupo no ano passado.
A tecnologia do LockBit continua a evoluir, desenvolvendo várias versões:
LockBit 1.0 )2019(: caracterizado pelo sufixo de criptografia ".abcd", suporta a plataforma Windows, utiliza algoritmos RSA + AES para criptografia, velocidade de execução rápida;
LockBit 2.0 )2021(: Introduz capacidade de propagação automatizada, aumentando a eficiência do ransomware;
LockBit 3.0 / LockBit Black )2022(: design modular, possui forte capacidade de resistência à análise, e pela primeira vez lançou um programa de recompensas por vulnerabilidades, oferecendo recompensas a pesquisadores de segurança externos para testar o ransomware;
LockBit Green (rumorado versão de 2023): supostamente integrou parte do código do extinto grupo de ransomware Conti.
Como um exemplo típico do modelo RaaS, a LockBit fornece kits de ferramentas de ransomware por meio de desenvolvedores principais, atrai ")Affiliates( franqueados" para serem responsáveis por ataques, infiltrações e implantações específicas e incentiva a cooperação por meio do compartilhamento de resgates, que podem ser compartilhados por 70% para o atacante médio. Além disso, a sua tática de "dupla extorsão" é extremamente opressiva: por um lado, encripta ficheiros e, por outro lado, rouba dados e ameaça torná-los públicos, e se a vítima se recusar a pagar o resgate, os dados serão pendurados no seu site de fuga exclusivo.
Em termos técnicos, o LockBit suporta sistemas Windows e Linux, utilizando tecnologia de criptografia multithread e o conjunto de instruções AES-NI para alcançar alta performance na criptografia, possui capacidade de movimentação lateral na rede interna (como o uso de PSExec, ataques de força bruta RDP, etc.), e antes da criptografia, desativa ativamente serviços críticos como bancos de dados e elimina backups.
Os ataques do LockBit são geralmente altamente sistematizados e apresentam características típicas de APT. A cadeia de ataque é aproximadamente a seguinte:
Acesso inicial (phishing, exploração de vulnerabilidades, senhas fracas RDP)
Movimento horizontal (Mimikatz, Cobalt Strike, etc.)
Elevação de privilégios
Roubo de dados
Criptografia de arquivos
Mensagem de resgate pop-up
Publicar informações em sites de vazamento (se não pago)
Durante o período de atividade do LockBit, ocorreram vários eventos de grande repercussão:
Ataque à Autoridade Tributária Italiana em 2022, afetando os dados de milhões de contribuintes;
Afirmou ter invadido o hospital SickKids no Canadá, depois pediu desculpa e ofereceu um decodificador;
Vários fabricantes (como empresas de defesa e de equipamentos médicos) foram criptografados pelo LockBit;
No segundo trimestre de 2022, mais de 40% dos ataques de ransomware em todo o mundo;
Impactou mais de 1000 empresas, superando amplamente grupos tradicionais como Conti, REvil, entre outros;
A taxa de sucesso de extorsão é extremamente alta, em 2022, mais da metade do resgate de 100 milhões de dólares proposto foi conseguido.
No entanto, mesmo que seja tão forte quanto o LockBit, não é invulnerável. Em 19 de fevereiro de 2024, o site LockBit foi apreendido em uma operação conjunta de fiscalização pela Agência Nacional do Crime do Reino Unido, o Departamento Federal de Investigação dos EUA, a Europol e a União Internacional de Agências Policiais, e vários membros da LockBit foram presos ou procurados, mas a equipe de desenvolvimento principal não foi completamente desmantelada, e algumas amostras ainda estão circulando na dark web e continuam a ser usadas por grupos de filiais.
) Incidente: site LockBit hackeado
Hoje, a SlowMist ### recebeu informações: o site onion do LockBit foi hackeado, os atacantes não apenas tomaram conta do seu painel de controle, mas também liberaram um arquivo compactado contendo o banco de dados, o que resultou no vazamento do banco de dados do LockBit, incluindo endereços de bitcoin, chaves privadas, registros de chat e outras informações sensíveis relacionadas.
Mais dramático ainda, os hackers deixaram uma frase significativa no site comprometido: "Não cometam crimes, cometer crimes é mau, vindo de Praga."
Pouco depois, os dados relevantes foram carregados em plataformas como o GitHub e se espalharam rapidamente.
O LockBit oficial respondeu posteriormente em seu canal em russo, e o sentido é aproximadamente o seguinte:
Rey: O LockBit foi hackeado? Há novidades?
LockBitSupp: Apenas o painel de controle leve com código de autorização foi comprometido, não houve roubo de descriptografador e nenhum dado da empresa foi danificado.
Rey: Sim, mas isso significa que endereços de Bitcoin, conteúdo de conversas e chaves foram vazados... Isso também afetará a reputação, certo?
Rey: O Locker Builder (Construtor de Ransomware) ou o código-fonte foram roubados?
Rey: Vocês vão voltar a trabalhar? Se sim, quanto tempo levará?
LockBitSupp: Apenas os endereços de Bitcoin e o conteúdo das conversas foram roubados, não o descriptografador. Sim, isso realmente afeta a reputação, mas o relançamento após a correção também afetará a reputação. O código-fonte não foi roubado. Já estamos a trabalhar na recuperação.
Rey: Ok, boa sorte para vocês. Obrigado pela sua resposta.
( Análise de Vazamento
SlowMist) Baixou imediatamente os arquivos vazados relevantes (apenas para fins de pesquisa interna, cópias de segurança foram apagadas a tempo). Realizamos uma análise preliminar da estrutura de diretórios, arquivos de código e conteúdo do banco de dados, tentando restaurar a arquitetura da plataforma de operação interna do LockBit e seus componentes funcionais.
Do ponto de vista da estrutura de diretórios, isso parece uma plataforma de gestão de vítimas LockBit escrita em uma arquitetura PHP leve.
Análise da estrutura do diretório:
api/, ajax/, services/, models/, workers/ mostram que o projeto tem uma certa modularização, mas não segue a estrutura convencional de frameworks como Laravel (por exemplo, app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php indicam que o gerenciamento do banco de dados e das funções é feito manualmente;
vendor/ + composer.json usou Composer, o que indica que pode ter introduzido bibliotecas de terceiros, mas todo o framework pode ter sido escrito por conta própria;
nomes de pastas como victim/ e notifications-host/ parecem suspeitos (especialmente em pesquisas de segurança).
Portanto, supomos que este hacker vindo de "Praga" deve estar usando PHP 0 day ou 1 day para comprometer o site e o console.
O fluxo de fundos de lavagem de dinheiro é relativamente claro, acabando por entrar na plataforma de negociação. Devido a limitações de espaço, a MistTrack realizará mais análises sobre endereços de criptomoeda posteriormente; se estiver interessado, pode seguir no X: @MistTrack_io.
Atualmente, a LockBit oficial também divulgou uma nova declaração sobre este evento. A tradução aproximada é a seguinte:
"No dia 7 de maio de 2025, um dos nossos painéis de controle leve com função de registro automático foi invadido, e qualquer pessoa pôde contornar a autorização para acessar diretamente o painel. O banco de dados foi roubado, mas não houve envolvimento de descriptografadores ou dados sensíveis da empresa afetada. No momento, estamos investigando o modo específico da invasão e iniciando o processo de reconstrução. O painel de controle principal e o blog continuam a funcionar normalmente."
"Alega-se que o atacante é uma pessoa chamada 'xoxo', de Praga. Se você puder fornecer informações exatas sobre a sua identidade - desde que a informação seja confiável, estou disposto a pagar por isso."
A resposta do LockBit é bastante irônica. Anteriormente, o Departamento de Estado dos EUA havia emitido um aviso de recompensa, oferecendo até 10 milhões de dólares por informações sobre a identidade e localização dos membros centrais ou colaboradores-chave do grupo LockBit; ao mesmo tempo, para incentivar a denúncia das ações de ataque de seus afiliados )Affiliates(, foi oferecida uma recompensa adicional de até 5 milhões de dólares.
Hoje, o LockBit foi hackeado, e por sua vez, está oferecendo recompensas no canal em busca de pistas sobre os atacantes - como se o mecanismo de "caçadores de recompensas" estivesse se voltando contra eles, o que é ao mesmo tempo engraçado e triste, além de expor ainda mais as falhas e a confusão em seu sistema de segurança interna.
) resumo
A LockBit está ativa desde 2019 e é uma das gangues de ransomware mais perigosas do mundo, com estimativas de resgate acumulado (incluindo dados não revelados) de pelo menos US$ 150 milhões. Seu modelo RaaS (Ransom-as-a-Service) atrai um grande número de franqueados para participar do ataque. Embora a quadrilha tenha sido atingida pela "Operação Cronos" no início de 2024, ela continua ativa. Este incidente marca um grande desafio para a segurança dos sistemas internos da LockBit, que pode afetar sua credibilidade, confiança de afiliados e estabilidade operacional. Ao mesmo tempo, também mostra a tendência de "ataques reversos" contra organizações cibercriminosas no ciberespaço.
A equipe de segurança da Slow Fog recomenda a todas as partes:
Monitorização contínua de informações: Acompanhar de perto a dinâmica de reconstrução do LockBit e as potenciais versões variantes;
Acompanhar as tendências da dark web: monitorizar em tempo real fóruns, sites e fontes de informação relacionadas, para prevenir vazamentos secundários e abuso de dados;
Reforçar a defesa contra ameaças RaaS: revisar a própria superfície de exposição, reforçar a identificação e os mecanismos de bloqueio das ferramentas RaaS;
Mecanismo de resposta da organização aprimorado: se descobrir uma associação direta ou indireta com a própria organização, recomenda-se notificar imediatamente a entidade supervisora e iniciar o plano de emergência;
Rastreio de fundos e ligação à prevenção de fraudes: se forem identificados caminhos de pagamento suspeitos a entrar na própria plataforma, deve-se reforçar a prevenção contra lavagem de dinheiro em conjunto com o sistema de monitorização na blockchain.
Este evento lembra-nos novamente que, mesmo organizações de hackers com capacidades técnicas impressionantes, não estão totalmente imunes a ataques cibernéticos. Esta também é uma das razões pelas quais os profissionais de segurança continuam a lutar.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Black Eat Black: Análise do incidente de hack do principal grupo de ransomware LockBit no mundo
Recapitulação: Quem é o LockBit?
LockBit é um ransomware como serviço ativo ( RaaS, que apareceu pela primeira vez em setembro de 2019. Devido à versão inicial adicionar o sufixo ".abcd" ao criptografar arquivos, foi chamado de "ransomware ABCD". O grupo é conhecido por sua tecnologia madura, alta automação e eficiência em extorsão, tendo lançado muitos ataques a empresas, governos, instituições educacionais e de saúde em todo o mundo. Foi classificado por várias agências de segurança de países como uma organização de ameaça persistente avançada ) APT (. Já divulgamos esse grupo no ano passado.
![])https://img.gateio.im/social/moments-cfbf43a9d7561a9b81d78a8ce1b8eb5c(
A tecnologia do LockBit continua a evoluir, desenvolvendo várias versões:
Como um exemplo típico do modelo RaaS, a LockBit fornece kits de ferramentas de ransomware por meio de desenvolvedores principais, atrai ")Affiliates( franqueados" para serem responsáveis por ataques, infiltrações e implantações específicas e incentiva a cooperação por meio do compartilhamento de resgates, que podem ser compartilhados por 70% para o atacante médio. Além disso, a sua tática de "dupla extorsão" é extremamente opressiva: por um lado, encripta ficheiros e, por outro lado, rouba dados e ameaça torná-los públicos, e se a vítima se recusar a pagar o resgate, os dados serão pendurados no seu site de fuga exclusivo.
Em termos técnicos, o LockBit suporta sistemas Windows e Linux, utilizando tecnologia de criptografia multithread e o conjunto de instruções AES-NI para alcançar alta performance na criptografia, possui capacidade de movimentação lateral na rede interna (como o uso de PSExec, ataques de força bruta RDP, etc.), e antes da criptografia, desativa ativamente serviços críticos como bancos de dados e elimina backups.
Os ataques do LockBit são geralmente altamente sistematizados e apresentam características típicas de APT. A cadeia de ataque é aproximadamente a seguinte:
Durante o período de atividade do LockBit, ocorreram vários eventos de grande repercussão:
No entanto, mesmo que seja tão forte quanto o LockBit, não é invulnerável. Em 19 de fevereiro de 2024, o site LockBit foi apreendido em uma operação conjunta de fiscalização pela Agência Nacional do Crime do Reino Unido, o Departamento Federal de Investigação dos EUA, a Europol e a União Internacional de Agências Policiais, e vários membros da LockBit foram presos ou procurados, mas a equipe de desenvolvimento principal não foi completamente desmantelada, e algumas amostras ainda estão circulando na dark web e continuam a ser usadas por grupos de filiais.
) Incidente: site LockBit hackeado
Hoje, a SlowMist ### recebeu informações: o site onion do LockBit foi hackeado, os atacantes não apenas tomaram conta do seu painel de controle, mas também liberaram um arquivo compactado contendo o banco de dados, o que resultou no vazamento do banco de dados do LockBit, incluindo endereços de bitcoin, chaves privadas, registros de chat e outras informações sensíveis relacionadas.
Mais dramático ainda, os hackers deixaram uma frase significativa no site comprometido: "Não cometam crimes, cometer crimes é mau, vindo de Praga."
Pouco depois, os dados relevantes foram carregados em plataformas como o GitHub e se espalharam rapidamente.
O LockBit oficial respondeu posteriormente em seu canal em russo, e o sentido é aproximadamente o seguinte:
( Análise de Vazamento
SlowMist) Baixou imediatamente os arquivos vazados relevantes (apenas para fins de pesquisa interna, cópias de segurança foram apagadas a tempo). Realizamos uma análise preliminar da estrutura de diretórios, arquivos de código e conteúdo do banco de dados, tentando restaurar a arquitetura da plataforma de operação interna do LockBit e seus componentes funcionais.
![]###https://img.gateio.im/social/moments-5d58a1b8f0663f172a3b53e867afca4c(
Do ponto de vista da estrutura de diretórios, isso parece uma plataforma de gestão de vítimas LockBit escrita em uma arquitetura PHP leve.
Análise da estrutura do diretório:
Portanto, supomos que este hacker vindo de "Praga" deve estar usando PHP 0 day ou 1 day para comprometer o site e o console.
O painel de controle é o seguinte:
![])https://img.gateio.im/social/moments-638ae43ae7dd23b3f4a46d1b65aa047e(
Parte das informações de comunicação por chat:
![])https://img.gateio.im/social/moments-05a790a5f442363d6dd8d4f540a6a08e(
Vamos ver as informações delineadas na caixa vermelha: CEO da vítima da co ... coinbase? Pagou o valor do resgate?
Ao mesmo tempo, a base de dados vazada também envolve cerca de 60.000 endereços BTC:
![])https://img.gateio.im/social/moments-98af86d17156f34bffaf3572b6d1064b(
Existem 75 contas de utilizador e palavras-passe na base de dados vazada:
![])https://img.gateio.im/social/moments-9ad7b2a165b0b44b488a8ce629c92ee5(
![])https://img.gateio.im/social/moments-b165ac3ae81709c364c99de146b8822c(
Conversa de negociação interessante:
![])https://img.gateio.im/social/moments-9bb7fc74fe43af66816b212207e3ecd8(
Encontrar aleatoriamente pedidos de pagamento bem-sucedidos:
![])https://img.gateio.im/social/moments-f87e3bee4e601a8f6719260e46efb302(
Endereço do pedido:
![])https://img.gateio.im/social/moments-8d95205587817fc4e9a8f778a3e8e223(
E use o MistTrack para rastrear o endereço de recebimento de Bitcoin:
![])https://img.gateio.im/social/moments-82ba79a37998661c4fc78828b70571f8(
O fluxo de fundos de lavagem de dinheiro é relativamente claro, acabando por entrar na plataforma de negociação. Devido a limitações de espaço, a MistTrack realizará mais análises sobre endereços de criptomoeda posteriormente; se estiver interessado, pode seguir no X: @MistTrack_io.
Atualmente, a LockBit oficial também divulgou uma nova declaração sobre este evento. A tradução aproximada é a seguinte:
![])https://img.gateio.im/social/moments-ee3f47701516799a0cfc67864a3f23e6(
A resposta do LockBit é bastante irônica. Anteriormente, o Departamento de Estado dos EUA havia emitido um aviso de recompensa, oferecendo até 10 milhões de dólares por informações sobre a identidade e localização dos membros centrais ou colaboradores-chave do grupo LockBit; ao mesmo tempo, para incentivar a denúncia das ações de ataque de seus afiliados )Affiliates(, foi oferecida uma recompensa adicional de até 5 milhões de dólares.
Hoje, o LockBit foi hackeado, e por sua vez, está oferecendo recompensas no canal em busca de pistas sobre os atacantes - como se o mecanismo de "caçadores de recompensas" estivesse se voltando contra eles, o que é ao mesmo tempo engraçado e triste, além de expor ainda mais as falhas e a confusão em seu sistema de segurança interna.
) resumo
A LockBit está ativa desde 2019 e é uma das gangues de ransomware mais perigosas do mundo, com estimativas de resgate acumulado (incluindo dados não revelados) de pelo menos US$ 150 milhões. Seu modelo RaaS (Ransom-as-a-Service) atrai um grande número de franqueados para participar do ataque. Embora a quadrilha tenha sido atingida pela "Operação Cronos" no início de 2024, ela continua ativa. Este incidente marca um grande desafio para a segurança dos sistemas internos da LockBit, que pode afetar sua credibilidade, confiança de afiliados e estabilidade operacional. Ao mesmo tempo, também mostra a tendência de "ataques reversos" contra organizações cibercriminosas no ciberespaço.
A equipe de segurança da Slow Fog recomenda a todas as partes:
Este evento lembra-nos novamente que, mesmo organizações de hackers com capacidades técnicas impressionantes, não estão totalmente imunes a ataques cibernéticos. Esta também é uma das razões pelas quais os profissionais de segurança continuam a lutar.