Đen ăn đen: Phân tích vụ hack LockBit, băng đảng ransomware hàng đầu thế giới

Vụ việc lần là lời nhắc nhở mạnh mẽ rằng ngay cả những nhóm hacker tay nghề cao cũng không hoàn toàn miễn nhiễm với các cuộc tấn công mạng. Đây là một trong những lý do tại sao người hành nghề an ninh mạng tiếp tục cuộc chiến của họ.

Tác giả: SlowMist Technology

Tóm tắt bài trước: LockBit là ai?

LockBit là một nhóm ransomware-as-a-Service (RaaS) đang hoạt động, xuất hiện lần đầu vào tháng 9 năm 2019. Do phiên bản ban đầu thêm hậu tố ".abcd" vào các tệp crypto, nên nó được biết đến với tên gọi "ransomware ABCD". Nhóm này nổi tiếng với công nghệ tinh vi, mức độ tự động hóa cao và các cuộc tấn công ransomware hiệu quả. Chúng đã thực hiện lượng lớn cuộc tấn công trên toàn cầu nhằm vào các doanh nghiệp, chính phủ, tổ chức giáo dục và tổ chức chăm sóc sức khỏe, và đã được nhiều cơ quan an ninh quốc gia xếp vào nhóm Mối đe dọa dai dẳng nâng cao (APT). Chúng tôi đã tiết lộ thông tin về nhóm này vào năm ngoái.

Công nghệ của LockBit đã trải qua quá trình cải tiến liên tục, phát triển thành nhiều phiên bản khác nhau:

• LockBit 1.0 (2019): Được đặc trưng bởi hậu tố crypto".abcd", nó hỗ trợ nền tảng Windows, sử dụng crypto RSA + AES và có tốc độ thực thi nhanh;
• LockBit 2.0 (2021): Giới thiệu khả năng tự động lan truyền để cải thiện hiệu quả của phần mềm tống tiền;
• LockBit 3.0 / LockBit Black (2022): Thiết kế mô-đun với khả năng chống phân tích mạnh mẽ, đồng thời lần đầu tiên ra mắt chương trình thưởng tìm lỗi, cung cấp phần thưởng cho các nhà nghiên cứu bảo mật bên ngoài để thử nghiệm phần mềm tống tiền;
• LockBit Green (phiên bản được đồn đoán năm 2023): bị nghi ngờ tích hợp một số mã từ nhóm ransomware Conti đã bị giải thể.

Là một ví dụ điển hình của mô hình RaaS (Residential Ransomware as a Service - phần mềm tống tiền dưới dạng dịch vụ), LockBit thu hút các "đối tác" chịu trách nhiệm cho các cuộc tấn công, xâm nhập và triển khai cụ thể bằng cách cung cấp bộ công cụ ransomware thông qua các nhà phát triển cốt lõi của mình. Nó khích lệ sự hợp tác thông qua việc chia sẻ doanh thu tiền chuộc, với việc kẻ tấn công thường nhận được 70% doanh thu. Ngoài ra, chiến lược "tống tiền kép" của nó cực kỳ mang tính cưỡng chế: một mặt, crypto các tập tin, mặt khác, nó đánh cắp dữ liệu và đe dọa công khai chúng. Nếu nạn nhân từ chối trả tiền chuộc, dữ liệu sẽ được đăng tải trên trang web chuyên dụng công khai dữ liệu của nó.

Về mặt kỹ thuật, LockBit hỗ trợ hệ thống Windows và Linux, sử dụng công nghệ crypto đa luồng và tập lệnh AES-NI để đạt được crypto cao, có khả năng di chuyển ngang trong mạng nội bộ (chẳng hạn như sử dụng PSExec, tấn công vét cạn RDP, v.v.) và sẽ chủ động tắt cơ sở dữ liệu và xóa các bản sao lưu trước khi crypto.

Các cuộc tấn công LockBit thường rất có hệ thống và thể hiện các đặc điểm điển hình của APT (Advanced Persistent Threat - Mối đe dọa dai dẳng nâng cao). Chuỗi tấn công tổng thể diễn ra như sau:

• Truy cập ban đầu (email Phishing, khai thác lỗ hổng bảo mật, mật khẩu RDP yếu)
• Di chuyển theo phương ngang (Mimikatz, Cobalt Strike, v.v.)
• Sự leo thang đặc quyền
• Đánh cắp dữ liệu
• Crypto hóa tập tin
• Thông báo đòi tiền chuộc hiện lên.
• Đăng tải thông tin bị rò rỉ lên trang web (nếu chưa nhận được tiền thanh toán).
  

Trong thời gian hoạt động, LockBit đã tham gia vào một số sự kiện gây chấn động:

• Vụ tấn công vào cơ quan thuế Ý năm 2022 đã ảnh hưởng đến dữ liệu của hàng triệu người nộp thuế.
• Họ tuyên bố đã đột nhập vào Bệnh viện SickKids ở Canada, nhưng sau đó đã xin lỗi và cung cấp công cụ giải mã.
• Nhiều nhà sản xuất (chẳng hạn như các công ty quốc phòng và thiết bị y tế) đã được crypto LockBit;
• Trong quý 2 năm 2022, nó chiếm hơn 40% các cuộc tấn công ransomware trên toàn cầu;
• Tác động này đã ảnh hưởng đến hơn 1.000 công ty, vượt xa các tập đoàn lâu đời như Conti và REvil;
• Tỷ lệ thành công của các vụ tống tiền cực kỳ cao; năm 2022, hơn một nửa trong số 100 triệu đô la tiền chuộc được yêu cầu đã được thu hồi thành công.

Tuy nhiên, ngay cả một thực thể hùng mạnh như LockBit cũng không phải là bất khả chiến bại. Vào ngày 19 tháng 2 năm 2024, trang web LockBit đã bị đóng cửa trong một chiến dịch phối hợp của Cơ quan Tội phạm Quốc gia Anh, Cục Điều tra Liên bang Mỹ, Europol và Liên minh Cảnh sát Quốc tế. Một số thành viên của LockBit đã bị bắt hoặc bị truy nã, nhưng đội ngũ phát triển cốt lõi không bị giải tán hoàn toàn, và một số mẫu phần mềm vẫn đang lưu hành trên mạng tối và được các nhánh khác sử dụng.

Tin nóng: Trang web LockBit bị tấn công

Hôm nay, SlowMist nhận được thông tin tình báo rằng trang web onion của LockBit đã bị tấn công. Kẻ tấn công không chỉ chiếm quyền kiểm soát bảng điều khiển mà còn phát tán một gói phần mềm chứa cơ sở dữ liệu, dẫn đến việc rò rỉ cơ sở dữ liệu của LockBit, bao gồm các thông tin nhạy cảm như địa chỉ Bitcoin, private key, nhật ký trò chuyện và thông tin về các công ty liên kết của nó.

Điều đáng chú ý hơn nữa là, hacker đã để lại một thông điệp đầy ý nghĩa trên trang web bị xâm nhập: "Đừng phạm tội, tội ác là xấu, từ Prague."

Ngay sau đó, dữ liệu liên quan đã được tải lên các nền tảng như GitHub và lan truyền nhanh chóng.

Sau đó, chính thức đã phản hồi bằng tiếng Nga trên kênh của mình với nội dung như sau:

Rey: LockBit bị hack rồi à? Có thông tin cập nhật gì không?

LockBitSupp: Chỉ có bảng điều khiển nhẹ chứa khóa xác thực bị xâm phạm; không có công cụ giải mã nào bị đánh cắp và không có dữ liệu của công ty bị hư hại.

Rey: Đúng vậy, nhưng điều đó có nghĩa là địa chỉ Bitcoin, nội dung cuộc trò chuyện và khóa đã bị rò rỉ... Điều đó sẽ ảnh hưởng đến danh tiếng của bạn chứ?

Rey: Liệu phần mềm tạo mã độc tống tiền (Locker Builder) hay mã nguồn của nó có bị đánh cắp không?

Rey: Cậu có thể kết nối lại ra mắt được không? Nếu được thì mất bao lâu?

LockBitSupp: Chỉ có địa chỉ Bitcoin và nội dung cuộc trò chuyện bị đánh cắp; công cụ giải mã thì không. Đúng là điều này ảnh hưởng đến uy tín, nhưng việc khôi phục ra mắt sau khi khắc phục sự cố cũng sẽ ảnh hưởng đến uy tín. Mã nguồn không bị đánh cắp. Chúng tôi đang tiến hành khôi phục.

Rey: Được rồi, chúc bạn may mắn. Cảm ơn bạn đã trả lời.

Phân tích rò rỉ

SlowMist đã tải xuống ngay lập tức các tập tin bị rò rỉ (chỉ dành cho mục đích nghiên cứu nội bộ; các bản sao lưu đã được xóa ngay lập tức). Chúng tôi đã tiến hành phân tích sơ bộ cấu trúc mục lục, các tập tin mã và nội dung cơ sở dữ liệu, cố gắng tái tạo kiến ​​trúc và các thành phần chức năng của nền tảng hoạt động nội bộ của LockBit.

Dựa trên cấu trúc mục lục, điều này giống với một nền tảng quản lý nạn nhân của LockBit được viết bằng kiến ​​trúc PHP đơn giản.

Phân tích cấu trúc mục lục:

• Các phần api/, ajax/, services/, models/ và workers/ cho thấy dự án có mô-đun, nhưng không tuân theo các quy ước cấu trúc của các framework như Laravel (ví dụ: app/Http/Controllers).
• Các tệp DB.php, prodDB.php, autoload.php và functions.php cho thấy việc khởi tạo cơ sở dữ liệu và hàm được quản lý thủ công.
• Việc sử dụng vendor/ + composer.json cho thấy rằng thư viện bên thứ ba có thể đã được thêm vào, nhưng toàn bộ khung phần mềm có thể do người dùng tự viết.
• Tên thư mục như victim/ và notifications-host/ rất đáng ngờ (đặc biệt trong nghiên cứu bảo mật).

Do đó, chúng tôi suy đoán rằng hacker đến từ "Prague" này có thể đã sử dụng PHP để đánh sập trang web và bảng điều khiển trong vòng 0 hoặc 1 ngày.

Giao diện quản trị như sau:

Một phần thông tin liên lạc qua trò chuyện:

Hãy xem phần thông tin được khoanh tròn màu đỏ: Giám đốc điều hành của nạn nhân đã trả tiền chuộc từ... Coinbase?

Cơ sở dữ liệu bị rò rỉ cũng bao gồm khoảng 60.000 địa chỉ BTC.

Cơ sở dữ liệu bị rò rỉ chứa tên người dùng và mật khẩu của 75 người dùng.

Những cuộc đàm phán thú vị và hấp dẫn:

Chọn ngẫu nhiên các đơn hàng đã thanh toán thành công:

Địa chỉ đặt hàng:

Và hãy sử dụng MistTrack để theo dõi địa chỉ nhận Bitcoin:

Luồng rửa tiền tương đối rõ ràng, cuối cùng đều đổ về nền tảng giao dịch. Do hạn chế về dung lượng, MistTrack sẽ tiến hành phân tích chi tiết hơn về địa chỉ crypto sau; những ai quan tâm có thể theo dõi chúng tôi trên X: @MistTrack_io.

chính thức đã đưa ra một tuyên bố mới liên quan đến sự cố lần. Bản dịch sơ lược như sau:

"Vào ngày 7 tháng 5 năm 2025, một trong những bảng điều khiển nhẹ có chức năng đăng ký tự động của chúng tôi đã bị xâm nhập, cho phép bất kỳ ai cũng có thể bỏ qua quá trình xác thực và truy cập trực tiếp vào bảng điều khiển. Cơ sở dữ liệu đã bị đánh cắp, nhưng không có công cụ giải mã hay dữ liệu nhạy cảm nào của công ty nạn nhân bị mất. Chúng tôi hiện đang điều tra phương thức xâm nhập cụ thể và đã bắt đầu quá trình khôi phục. Bảng điều khiển chính và blog vẫn đang hoạt động bình thường."

"Lần tấn công được cho là một người tên 'xoxo' đến từ Praha. Nếu bạn có thể cung cấp thông tin chính xác về danh tính của hắn ta—miễn là thông tin đó đáng tin cậy—tôi sẵn sàng trả tiền cho việc đó."

Phản hồi của LockBit khá mỉa mai. Trước đó, Bộ Ngoại giao Hoa Kỳ đã đưa ra thông báo treo thưởng, với mức tiền thưởng lên tới 10 triệu đô la cho thông tin dẫn đến việc xác định và định vị các thành viên chủ chốt hoặc cộng tác viên quan trọng của nhóm LockBit; ngoài ra, một khoản tiền thưởng lên tới 5 triệu đô la cũng được đưa ra để khuyến khích việc vạch trần các cuộc tấn công do các chi nhánh của nhóm này thực hiện.

Giờ đây, sau khi bị tấn công, LockBit đang treo thưởng trên các kênh của mình để tìm ra manh mối về những kẻ tấn công—như thể "cơ chế săn tiền thưởng" đã phản tác dụng, điều này vừa nực cười vừa trớ trêu, và càng làm lộ rõ ​​những lỗ hổng và sự hỗn loạn trong hệ thống bảo mật nội bộ của họ.

Tóm tắt

Hoạt động từ năm 2019, LockBit là một trong những nhóm ransomware nguy hiểm nhất thế giới, với ước tính số tiền chuộc yêu cầu (bao gồm cả dữ liệu chưa được tiết lộ) lên tới ít nhất 150 triệu đô la. Mô hình RaaS (Ransom as a Service - đòi tiền chuộc dưới dạng dịch vụ) của nhóm thu hút lượng lớn chi nhánh tham gia vào các cuộc tấn công. Mặc dù nhóm này đã phải đối mặt với chiến dịch trấn áp của cơ quan thực thi pháp luật Operation Cronos vào đầu năm 2024, nhưng nó vẫn tiếp tục hoạt động. Sự cố lần đặt ra một thách thức lớn đối với an ninh hệ thống nội bộ của LockBit, có khả năng ảnh hưởng đến danh tiếng, lòng tin của các chi nhánh và sự ổn định hoạt động của nhóm. Nó cũng cho thấy xu hướng "tấn công ngược" chống lại các tổ chức tội phạm mạng trong không gian mạng.

Đội ngũ bảo mật SlowMist khuyến nghị tất cả các bên nên lưu ý những điều sau:

• Giám sát thông tin tình báo liên tục: Theo dõi sát sao tiến trình tái cấu trúc và các biến thể tiềm năng của LockBit;
• Giám sát hoạt động Dark Web: Theo dõi thời gian thực các diễn đàn, trang web và nguồn thông tin tình báo có liên quan để ngăn chặn rò rỉ lần và lạm dụng dữ liệu;
• Tăng cường khả năng phòng thủ trước các mối đe dọa từ RaaS: Xác định các bề mặt dễ bị tổn thương của riêng bạn và tăng cường các cơ chế nhận diện và ngăn chặn Chuỗi RaaS;
• Cơ chế ứng phó tổ chức hoàn thiện: Nếu phát hiện mối liên hệ trực tiếp hoặc gián tiếp với tổ chức của mình, nên báo cáo ngay lập tức cho cơ quan có thẩm quyền và kích hoạt kế hoạch khẩn cấp;
• Kết hợp theo dõi dòng tiền với phòng chống gian lận: Nếu phát hiện các luồng thanh toán đáng ngờ chảy vào nền tảng, cần tăng cường phòng chống rửa tiền bằng cách Chuỗi với các hệ thống giám sát trên chuỗi.

Vụ việc lần là lời nhắc nhở mạnh mẽ rằng ngay cả những nhóm hacker tay nghề cao cũng không hoàn toàn miễn nhiễm với các cuộc tấn công mạng. Đây là một trong những lý do tại sao người hành nghề an ninh mạng tiếp tục cuộc chiến của họ.

Tuyên bố miễn trừ trách nhiệm: Là blockchain, các bài viết được đăng tải trên trang web này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời và không phản ánh lập trường của Web3Caff. Thông tin trong các bài viết chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hoặc đề nghị đầu tư nào. Vui lòng tuân thủ các luật và quy định hiện hành của quốc gia hoặc khu vực của bạn.