Bối cảnh: LockBit là ai?
LockBit là một tổ chức Ransomware-as-a-Service (RaaS) hoạt động lần đầu tiên vào tháng 9 năm 2019. Do phiên bản đầu tiên thêm hậu tố ".abcd" khi crypto tệp nên trước đây nó được gọi là "ABCD Ransomware". Nhóm này được biết đến với công nghệ tiên tiến, mức độ tự động hóa cao và hiệu quả tống tiền cao. Tổ chức này đã phát động lượng lớn các cuộc tấn công vào các doanh nghiệp, chính phủ, cơ sở giáo dục và y tế trên khắp thế giới và đã bị nhiều cơ quan an ninh quốc gia liệt kê là tổ chức có mối đe dọa dai dẳng tiên tiến (APT). Chúng tôi đã công bố tổ chức này vào năm ngoái .
Công nghệ của LockBit tiếp tục được cải tiến và phát triển nhiều phiên bản:
LockBit 1.0 (2019): Có hậu tố crypto".abcd", hỗ trợ nền tảng Windows, sử dụng thuật toán crypto RSA + AES và có tốc độ thực thi nhanh;
LockBit 2.0 (2021): Giới thiệu khả năng phát tán tự động để cải thiện hiệu quả của phần mềm tống tiền;
LockBit 3.0 / LockBit Black (2022): Thiết kế mô-đun, khả năng chống phân tích mạnh mẽ và chương trình tiền thưởng cho lỗi đầu tiên, trao phần thưởng cho các nhà nghiên cứu bảo mật bên ngoài để thử nghiệm phần mềm tống tiền;
LockBit Green (được đồn đoán là phiên bản năm 2023): bị nghi ngờ tích hợp một số mã từ băng nhóm ransomware Conti đã giải thể.
Là một đại diện tiêu biểu của mô hình RaaS, LockBit cung cấp bộ công cụ ransomware thông qua các nhà phát triển cốt lõi để thu hút "các bên liên kết" chịu trách nhiệm cho các cuộc tấn công, xâm nhập và triển khai cụ thể, đồng thời khích lệ hợp tác thông qua việc chia sẻ tiền chuộc, trong đó kẻ tấn công thường nhận được 70% cổ phần. Ngoài ra, chiến lược "tống tiền kép" của nó cũng cực kỳ tàn bạo: một mặt, crypto các tập tin, mặt khác, nó đánh cắp dữ liệu và đe dọa sẽ công khai dữ liệu. Khi nạn nhân từ chối trả tiền chuộc, dữ liệu sẽ được đăng lên trang web rò rỉ độc quyền của họ.
Về mặt kỹ thuật, LockBit hỗ trợ các hệ thống Windows và Linux, sử dụng công nghệ crypto đa luồng và bộ lệnh AES-NI để đạt được crypto hiệu suất cao, có khả năng di chuyển ngang trong mạng nội bộ (chẳng hạn như sử dụng PSExec, RDP blasting, v.v.) và sẽ chủ động đóng cơ sở dữ liệu, xóa bản sao lưu và các dịch vụ quan trọng khác trước khi crypto.
Các cuộc tấn công của LockBit thường có tính hệ thống cao và có các đặc điểm APT điển hình. Toàn bộ chuỗi tấn công như sau:
Truy cập ban đầu (email Phishing, khai thác lỗ hổng, mật khẩu RDP yếu)
Chuyển động ngang (Mimikatz, Cobalt Strike, v.v.)
Tăng đặc quyền
Trộm cắp dữ liệu
Crypto hóa tập tin
Ghi chú tiền chuộc hiện ra
Đăng thông tin lên các trang web rò rỉ (nếu không thanh toán)
LockBit đã gây ra nhiều sự kiện chấn động trong suốt thời gian hoạt động của mình:
cuộc tấn công năm 2022 vào cơ quan thuế của Ý, ảnh hưởng đến dữ liệu hàng triệu người nộp thuế;
Tuyên bố đã hack vào bệnh viện SickKids của Canada, nhưng sau đó đã xin lỗi và cung cấp công cụ giải mã;
Nhiều nhà sản xuất (như các công ty thiết bị y tế và quốc phòng) đã được crypto bởi LockBit;
Trong quý 2 năm 2022, nó chiếm hơn 40% các cuộc tấn công bằng phần mềm tống tiền trên toàn cầu;
Tổng tác động đã vượt quá 1.000 công ty, vượt xa các băng nhóm cũ như Conti và REvil;
Tỷ lệ thành công của việc đòi tiền chuộc là cực kỳ cao, với hơn một nửa trong số 100 triệu đô la tiền chuộc mà nhóm này yêu cầu vào năm 2022 đã được thu thập thành công.
Tuy nhiên, ngay cả một công cụ mạnh mẽ như LockBit cũng không phải là bất khả xâm phạm. Vào ngày 19 tháng 2 năm 2024, trang web LockBit đã bị tịch thu trong một chiến dịch thực thi pháp luật chung của Cơ quan Tội phạm Quốc gia Anh, Cục Điều tra Liên bang Hoa Kỳ, Europol và Liên minh các Cơ quan Cảnh sát Quốc tế. Một số thành viên của LockBit đã bị bắt hoặc bị truy nã, nhưng đội ngũ phát triển cốt lõi vẫn chưa bị giải thể hoàn toàn. Một số mẫu vẫn đang lưu hành trên dark web và vẫn đang được các nhóm nhánh sử dụng.
Tin tức mới nhất: Trang web LockBit bị hack
Hôm nay, SlowMist nhận được thông tin tình báo rằng trang onion của LockBit đã bị tấn công. Kẻ tấn công không chỉ chiếm được bảng điều khiển mà còn phát hành một tệp gói chứa cơ sở dữ liệu. Động thái này khiến cơ sở dữ liệu của LockBit bị rò rỉ, bao gồm thông tin nhạy cảm như địa chỉ Bitcoin, private key, hồ sơ trò chuyện và các công ty liên kết.
Thậm chí còn kịch tính hơn nữa là hacker đã để lại một thông điệp có ý nghĩa trên trang web bị phá hoại: "Đừng phạm tội, tội phạm là xấu, từ Prague."
Ngay sau đó, dữ liệu có liên quan đã được tải lên các nền tảng như GitHub và lan truyền nhanh chóng.
Chính thức của LockBit sau đó đã trả lời bằng tiếng Nga trên kênh của mình, đại khái như sau:
Rey: LockBit đã bị hack? Có tiến triển gì không?
LockBitSupp: Chỉ có bảng điều khiển nhẹ với mã ủy quyền bị xâm phạm, không có bộ giải mã nào bị đánh cắp và không có dữ liệu công ty nào bị xâm phạm.
Rey: Đúng vậy, nhưng điều này có nghĩa là địa chỉ Bitcoin, nội dung trò chuyện, khóa, v.v. sẽ bị rò rỉ... Điều này cũng sẽ ảnh hưởng đến danh tiếng, đúng không?
Rey: Locker Builder hay mã nguồn bị đánh cắp?
Rey: Các bạn có làm việc ra mắt trở lại không? Nếu vậy, sẽ mất bao lâu?
LockBitSupp: Chỉ có địa chỉ Bitcoin và nội dung cuộc trò chuyện bị đánh cắp, không có bộ giải mã nào bị đánh cắp. Đúng, nó ảnh hưởng đến danh tiếng, nhưng việc khởi ra mắt lại sau khi sửa lỗi cũng vậy. Mã nguồn không bị đánh cắp. Chúng tôi đang tiến hành công tác phục hồi.
Rey: Được thôi, chúc mọi người may mắn. Cảm ơn câu trả lời của bạn.
Phân tích rò rỉ
SlowMist đã tải xuống các tệp bị rò rỉ có liên quan sớm nhất có thể (chỉ nhằm mục đích nghiên cứu nội bộ, bản sao lưu đã được xóa kịp thời). Chúng tôi đã tiến hành phân tích sơ bộ cấu trúc mục lục, tệp mã và nội dung cơ sở dữ liệu, nhằm khôi phục kiến trúc nền tảng vận hành nội bộ của LockBit và các thành phần chức năng của nó.
Xét theo cấu trúc mục lục, có vẻ như đây là nền tảng quản lý nạn nhân LockBit được viết bằng một khuôn khổ PHP nhẹ.
Phân tích cấu trúc mục lục:
api/, ajax/, services/, models/, workers/ cho thấy dự án có một mức độ mô-đun nhất định, nhưng không tuân theo cấu trúc được thống nhất bởi các khuôn khổ như Laravel (như app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php chỉ ra rằng cơ sở dữ liệu và chức năng bootstrap được quản lý thủ công;
vendor/ + composer.json sử dụng Composer, nghĩa là có thể giới thiệu các thư viện của bên thứ ba, nhưng toàn bộ khuôn khổ có thể do chính bạn viết;
Tên thư mục như victim/, notifications-host/, v.v. rất đáng ngờ (đặc biệt là trong nghiên cứu bảo mật).
Vì vậy, chúng tôi suy đoán rằng hacker từ "Prague" có thể đã sử dụng PHP 0-day hoặc 1-day để chiếm quyền điều khiển trang web và bảng điều khiển.
Bảng điều khiển quản lý như sau:
Một số thông tin giao tiếp trò chuyện:
Hãy xem thông tin được khoanh tròn màu đỏ: Tổng giám đốc điều hành của nạn nhân từ co…coinbase? Trả tiền chuộc?
Đồng thời, cơ sở dữ liệu bị rò rỉ cũng liên quan đến khoảng 60.000 địa chỉ BTC:
Cơ sở dữ liệu bị rò rỉ chứa 75 tài khoản người dùng và mật khẩu:
Trò chuyện mặc cả vui vẻ:
Tìm ngẫu nhiên các đơn hàng thanh toán thành công:
Địa chỉ đặt hàng:
Và sử dụng MistTrack để theo dõi địa chỉ thanh toán Bitcoin:
Dòng tiền rửa tiền tương đối rõ ràng và cuối cùng sẽ chảy vào nền tảng giao dịch. Do giới hạn về không gian, MistTrack sẽ tiến hành phân tích thêm về các địa chỉ crypto trong tương lai. Nếu bạn quan tâm, bạn có thể theo dõi X: @MistTrack_io.
Hiện tại, LockBit đã chính thức đưa ra tuyên bố mới nhất về sự cố lần. Bản dịch gần đúng như sau:
“Vào ngày 7 tháng 5 năm 2025, một trong những bảng điều khiển nhẹ của chúng tôi có chức năng đăng ký tự động đã bị xâm phạm, cho phép bất kỳ ai bỏ qua quyền hạn và truy cập trực tiếp vào bảng điều khiển. Cơ sở dữ liệu đã bị đánh cắp, nhưng không có trình giải mã hoặc dữ liệu nhạy cảm nào của công ty nạn nhân tham gia. Hiện chúng tôi đang điều tra phương pháp xâm nhập cụ thể và bắt đầu quá trình tái thiết. Bảng điều khiển chính và blog vẫn hoạt động bình thường.”
"Lần được cho là một người đàn ông tên là 'xoxo' đến từ Prague. Nếu bạn có thể cung cấp cho tôi thông tin đáng tin cậy về danh tính của anh ta, tôi sẽ trả tiền."
Phản ứng của LockBit thật trớ trêu. Trước đó, Bộ Ngoại giao Hoa Kỳ đã ban hành thông báo thưởng, đưa ra mức thưởng tối đa là 10 triệu đô la cho người cung cấp thông tin về danh tính và vị trí của các thành viên cốt cán hoặc cộng tác viên chính của băng đảng LockBit; đồng thời, để khuyến khích việc tiết lộ hành vi tấn công của các chi nhánh, phần thưởng tối đa đã được đưa ra là 5 triệu đô la.
Bây giờ LockBit đã bị hack, nó đã quay lại và đưa ra một mức giá trên kênh để tìm manh mối về kẻ tấn công - như thể "cơ chế thợ săn tiền thưởng" đã phản tác dụng, điều này thật nực cười và càng phơi bày thêm những lỗ hổng và sự hỗn loạn trong hệ thống an ninh nội bộ.
Tóm tắt
LockBit đã hoạt động từ năm 2019 và là một trong những băng nhóm ransomware nguy hiểm nhất thế giới, với ước tính số tiền chuộc tích lũy (bao gồm cả dữ liệu chưa được tiết lộ) ít nhất là 150 triệu đô la. Mô hình RaaS (Ransomware as a Service) của nó thu hút lượng lớn bên nhượng quyền tham gia vào các cuộc tấn công. Mặc dù băng đảng này đã bị lực lượng thực thi pháp luật tấn công trong "Chiến dịch Cronos" vào đầu năm 2024, nhưng chúng vẫn tiếp tục hoạt động. Sự cố lần đánh dấu thách thức lớn đối với an ninh hệ thống nội bộ của LockBit, có thể ảnh hưởng đến danh tiếng, lòng tin của bên nhượng quyền và sự ổn định trong hoạt động. Đồng thời, nó cũng thể hiện xu hướng “tấn công ngược” vào các tổ chức tội phạm mạng trên không gian mạng.
Đội ngũ bảo mật SlowMist khuyến nghị tất cả các bên:
Giám sát tình báo liên tục: Theo dõi chặt chẽ động lực tái thiết của LockBit và các phiên bản biến thể tiềm năng;
Chú ý đến các xu hướng trên Dark Web: theo dõi các diễn đàn, trang web và nguồn thông tin tình báo có liên quan theo thời gian thực để ngăn ngừa rò rỉ dữ liệu lần và lạm dụng dữ liệu;
Tăng cường khả năng phòng thủ trước các mối đe dọa RaaS: phân loại bề mặt tiếp xúc và tăng cường cơ chế nhận dạng và chặn của Chuỗi công cụ RaaS;
Hoàn thiện cơ chế ứng phó của tổ chức: Nếu phát hiện mối liên hệ trực tiếp hoặc gián tiếp với tổ chức của mình, nên thông báo ngay cho cơ quan có thẩm quyền và kích hoạt kế hoạch khẩn cấp;
Liên kết theo dõi quỹ và chống gian lận: Nếu phát hiện bất kỳ đường dẫn thanh toán đáng ngờ nào chảy vào nền tảng, các biện pháp phòng chống rửa tiền cần được tăng cường kết hợp với hệ thống giám sát Chuỗi.
Sự cố lần một lần nữa nhắc nhở rằng ngay cả những nhóm hacker có năng lực kỹ thuật mạnh cũng không hoàn toàn miễn nhiễm với các cuộc tấn công mạng. Đây là một trong những lý do khiến người hành nghề an ninh tiếp tục đấu tranh.
