LockBit: от зарождения до утечки собственной базы — полная хроника событий

LockBit хакеры вымогатели группа взлом
LockBit: от зарождения до утечки собственной базы — полная хроника событий

За шесть лет LockBit успела пережить всё: бурный рост, рекордные выплаты, международные облавы, утечку исходников и, наконец, взлом собственной инфраструктуры. Данная хроника покажет, как экспериментальный проект «ABCD» стал самой узнаваемой фабрикой шифровальщиков, а затем — объектом для чужих насмешек. Погружаемся в детали: от первых выкупов до свежего дефейса с дерзким слоганом «Don’t do crime».

Корни: эпоха «ABCD» и первые выкупы (2019 – 2020)

Сентябрь 2019-го: исследователи обнаруживают ранний билд шифровальщика, обозначавший зашифрованные файлы расширением .abcd. Отсюда и «рабочее» имя проекта. Инструмент был сырой, но отличался автоматизированным развёртыванием: после взлома домена скрипт сам искал общедоступные SMB-шары и RDP-хосты. Уже весной 2020-го авторы переименовали продукт в LockBit и анонсировали раннюю RaaS-модель — партнёрам обещали до 75 % выкупа и нулевую «абонплату».

Машина по зарабатыванию биткойнов: как устроен RaaS-конвейер LockBit

Внутри группы нет классической вертикали «босс-кодер-мул». Разработчики пишут криптографию и держат платёжные кошельки, аффилиаты ищут дыры, «продавцы» ведут торги на витрине утечек. Панель партнёров напоминает SaaS-сервис: статистика заражений, генерация билдов под Windows / Linux / ESXi, тикеты в техподдержку. Кульминация маркетинга — первая в дарквебе bug bounty (2022): за сообщение об уязвимости в сервисе банда платила до 1 000 $. Иронично, что спустя год исходники LockBit 2.0 утекли на форум XSS — по слухам, их слил обиженный разработчик.

Эволюция семейства: от 2.0 до «плана 4.0»

  • LockBit 2.0 (середина 2021) — переписанное шифрование AES-128 + ECC и ускоренный режим «StealBit» для одновременного вывоза данных и блокировки дисков.
  • LockBit 3.0 / Black (лето 2022) — модульная архитектура, отключение ESXi-снэпшотов и та самая bug bounty.
  • LockBit Green (февраль 2023) — гибридный билд c фрагментами кода Conti; в панели появились пресеты обхода антивирусов и тонкие фильтры по расширениям.
  • LockBit 4.0 (анонс декабрь 2024) — по данным инсайдеров, группа тестирует self-delete-модуль и внедряет ИИ-подбор начальных точек входа, чтобы сокращать цикл атаки.

Чёрная книга жертв: самые громкие кампании

На пике активности, к лету 2023-го, лента утечек LockBit пополнялась десятком компаний в сутки. Ниже — лишь вершина айсберга:

  • Accenture (август 2021) — вымогатели требовали $50 млн; корпорация признала взлом, но не раскрыла платёж.
  • Royal Mail (январь 2023) — международные отправления приостановлены почти на 2 недели; хакеры угрожали слить техдокументы.
  • Continental (ноябрь 2022) — утечка конструкторских спецификаций и юридических меморандумов.
  • Boeing (октябрь 2023) — опубликовано >43 ГБ резервных образов; требуемая сумма, по данным журналистов, достигала $200 млн.

Традиционная двойная атака — шифрование + угроза публикации — у LockBit эволюционировала в «тройное» давление: параллельный DDoS сайта жертвы, что затрудняло её публичные комментарии и переговоры.

Operation Cronos: международный молот (февраль 2024)

19 февраля 2024-го весь дарк-сайт LockBit «переоделся» в гербы правоохранителей 11 стран. Операция Cronos вывела из строя 34 сервера, изъяла 1 000 дешифраторов и закрыла платёжные кошельки группы. Позже стало известно, что один из администраторов согласился сотрудничать со следствием, раскрыв детали внутренней бухгалтерии. LockBit исчезла на пять дней, но затем аффилиаты восстановили витрину на резервных доменах, объявив охоту на «информаторов».

Апрель 2025: когда хакеры — жертвы. Взлом админ-панелей и утечка paneldb_dump.zip

29 апреля 2025 для LockBit стало днём позора. Все панели аффилиатов оказались дефейснуты надписью Don’t do crime — CRIME IS BAD — xoxo from Prague, а рядом красовалась ссылка на архив paneldb_dump.zip. Анализ BleepingComputer подтвердил подлинность SQL-дампа:

  • btc_addresses — 59 975 биткойн-кошельков, по которым можно проследить маршруты выкупов;
  • builds — история генерации вредоносных сборок с публичными ключами и метками целей;
  • builds_configurations — шаблоны обхода ESXi-серверов, списки расширений для шифрования;
  • chats — 4 442 сообщения переговоров с жертвами (19 декабря 2024 — 29 апреля 2025);
  • users — 75 аккаунтов партнёров, причём пароли хранились в plain-text, среди них «Weekendlover69» и «MovingBricks69420».

LockBitSupp в Tox-чате подтвердил взлом, заверив, что приватные ключи «в безопасности». Однако сервер работал на уязвимой PHP 8.1.2, подверженной CVE-2024-4577, что, вероятно, и открыло злоумышленникам путь к RCE. Похожий слоган уже встречался в дефейсе другой банды — Everest, что заставляет экспертов говорить о «кампании стыд-шейминга» против вымогателей.

Утечка бьёт сразу по трём направлениям:

  1. Финансы. Отслеживание 60 000 кошельков упрощает блокировку транзакций.
  2. Траст аффилиатов. Потеря личных данных и открытые пароли делают работу под брендом LockBit токсичной.
  3. Разведданные. Переписка с жертвами даёт уникальный материал для анализа тактик давления и средних сумм выкупа.

Тактика, техники, процедуры (TTP) — почему LockBit была столь эффективна

  • Начальный доступ: CVE-эксплойты (Citrix Bleed CVE-2023-4966), фишинг и покупка RDP-доступов на форумах.
  • Lateral movement: PSExec, RDP «изнутри» и эксплойты устаревших VMWare ESXi.
  • Экфильтрация: собственный инструмент StealBit + теневые копии в S3-совместимых сторажах.
  • Шифрование: комбинированный AES-128 / ChaCha20 с уникальным ключом на файл и подписью ECC.
  • Давление: индивидуальные чаты, DDoS, раскрытие персональных данных топ-менеджмента.

Защищаемся по правилу «три слоя»

  1. Предотвращение: ограничение RDP, своевременные патчи, раздельные учётки для MFA.
  2. Обнаружение: мониторинг аномалий на AD, Sysmon-правила для массового удаления теневых копий.
  3. Реакция/восстановление: офлайн-бэкапы (правило 3-2-1), отдельный регламент PR при утечке и предварительно согласованные каналы связи с SOC.

Вместо эпилога: что будет дальше и чему научил LockBit

Cовокупный ущерб от LockBit исчисляется сотнями миллионов долларов, но главный урок банды — коммерциализация киберпреступности. Организовать «стартап» в дарквебе оказалось проще, чем многие думали: нужен лишь эффективный GTM-план, маркетинг и техподдержка. Однако недавний дефейс показывает: даже самая блестящая «организация» рушится, если игнорировать базовую кибер-гигиену. Репутация, как и в легальном бизнесе, — хрупкий актив, который может уничтожить один SQL-дамп.

LockBit наверняка попытается перезапуститься под новым брендом — ранние тесты версии 4.0 тому подтверждение. Но доверие аффилиатов возвращается куда медленнее, чем поднимается новая витрина в Tor. А пока исследователи разбирают переговоры и биткойн-адреса, корпоративным CISO стоит задать себе вопрос: а насколько надёжна наша собственная «панель»?

LockBit хакеры вымогатели группа взлом
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Твой код — безопасный?

Расскажи, что знаешь о DevSecOps.
Пройди опрос и получи свежий отчет State of DevOps Russia 2025.

Участвовать

article-title

Комнатный Блогер

Объясняю новую цифровую реальность