【独家揭秘】LockBit 4.0 解密器失效真相|首发谈判日志+万字深剖:发展脉络 · TTP 演进 · 2025最新 IOC

Solar万字长文为你起底勒索组织LockBit

关于LockBit的前世、今生与未来

Lockbit勒索情报整合报告

历史演进、威胁情报与2025年IoC信息

本文图片素材部分来自网络,参考资料已在文末给出

省流总结

img

LockBit 自2019年以来一直是全球最具影响力的勒索软件即服务 (RaaS) 组织之一,其持续演进的恶意软件版本和高度专业化的运营模式对全球网络安全格局构成了重大威胁。该组织通过双重勒索 (double extortion) 策略,即加密受害者数据并威胁公开敏感信息,迫使受害者支付赎金。

尽管在2024年2月遭遇了“Cronos 行动” (Operation Cronos) 这一国际执法部门的重大打击,并于2024年5月其领导人 LockBitSupp (Dmitry Khoroshev) 的身份被揭露,LockBit却展现出惊人的韧性,迅速重建基础设施并于2025年2月推出了 LockBit 4.0 新版本。然而,2025年5月其内部运营数据库的泄露,再次暴露了其内部运作细节,包括数万个比特币钱包地址和数千条受害者谈判记录,为威胁情报分析提供了前所未有的洞察 。

本报告将深入分析 LockBit 的发展历史、其不断演进的战术、技术与程序 (TTPs),并提供基于2025年最新情报的入侵指标 (IOCs)。这些信息旨在帮助安全研究人员更好地理解 LockBit 的威胁态势,并制定更有效的防御策略,以应对勒索软件持续演变的挑战。

第一章:LockBit 发展史

本章详细梳理 LockBit 勒索软件从其诞生到2025年的关键发展节点、版本演变、内部结构以及其所面临的重大挑战和执法行动打击。

1.1 起源与演变

LockBit 勒索软件自2019年9月起开始活跃,最初被称为“.abcd”勒索软件,并迅速发展成为一个基于勒索软件即服务(RaaS) 模式的犯罪组织 。这种模式使得其核心成员开发团队专注于恶意软件的开发和维护,而加盟成员则负责执行实际的攻击,并与核心团队分享赎金利润 。这种商业化运作极大地降低了网络犯罪的门槛,使其能够迅速扩大攻击范围和规模,也利用部分国家法律漏洞使相关核心人员避免了法律责任和保证组织的持续运营。

img

在过去几年中,LockBit 经历了多次重要的版本迭代,每次更新都带来了增强的功能和更强的规避能力:

  • LockBit Red (LockBit 2.0): 于2021年6月发布,是 LockBit 的首次重大更新。该版本在效率上有所提升,例如降低了 CPU 使用率,并改进了勒索信息。LockBit 2.0 在2021年早期开始在俄语网络犯罪论坛中流传,并被观察到攻击了意大利、英国、台湾和智利等国家的制造业、零售业和专业服务业。

  • LockBit Black (LockBit 3.0): 于2022年6月发布,被认为是更重要的更新。该版本由 DarkSide 和 BlackMatter 勒索软件的开发者开发,引入了新的功能和服务,显著提升了LockBit 在勒索软件生态系统中的地位。LockBit 3.0 引入了独特的特性,使其与早期版本和其他勒索软件家族区分开来,包括更先进的规避技术和对多语言的支持,使其能够针对全球受害者。其创作者甚至推出了漏洞赏金计划,以奖励发现其勒索软件或基础设施缺陷的人,这体现了他们对恶意软件质量的自信并提高了其发布的更新承诺的可信性。

img

  • LockBit Green: 于2023年1月发布,但并非 LockBit 的原创勒索软件,而是泄露的 Conti 勒索软件的修改版本。其变化包括将受害者导向 LockBit 的谈判基础设施,并使用随机字符而非“.lockbit”作为加密文件的扩展名。此举旨在吸引偏好 Conti 载荷的前 Conti 附属成员。

  • LockBit 4.0: 于2025年2月正式发布,是 LockBit 最新迭代版本,旨在增强隐蔽性和适应性。该版本通过包含各种规避技术(包括禁用安全功能和使用混淆方法)来阻碍检测。攻击通常由修改后的 PowerShell 脚本启动,该脚本执行辅助脚本,提取并部署恶意 DLL 载荷。

img

版本名称 推出年份 主要特点/变化
初始版本 2019 加密文件后添加“.abcd”扩展名
Lockbit 2.0 2021 引入“StealBit”恶意软件,自动化窃取数据过程;速度快,加密效率高;针对Linux主机,特别是VMware ESXi服务器,发布了Linux-ESXi Locker 1.0版本。
Lockbit 3.0 2022 在经过两个月的beta测试后于6月下旬发布;主要特点包括漏洞赏金计划。
Lockbit-NG-Dev 2024 当执法部门在2024年2月打击Lockbit服务器时,发现该版本正处于高级开发阶段;使用.NET框架编写,与早期使用的C和C++编程语言不同;Lockbit在2024年12月宣布了4.0版本,计划于2025年2月发布。
SuperBlack 2025 2025年3月,网络安全研究人员报告了一种名为SuperBlack的新勒索软件,该软件以Lockbit 3.0(也称为Lockbit Black)为基础;该变种删除了Lockbit品牌标识,更改了赎金票据,并添加了自定义数据泄露模块。也被称为LockBit 4.0

LockBit 运营由一名领导者和其他成员管理。但经过分析,至少有两个人曾使用过这个名为“LockBitSupp”的“BOSS”账户:该团伙的领导者和一名更年轻、更容易交流的成员。LockBit组织的领导者画像被描述为思想封闭、性别歧视、种族主义和“戏剧性”,性格与 REvil 前领导人“UNKN”相似(此部分内容来自Analyst1的专家卧底调查文章)。年轻成员更和蔼可亲,通常处理前来 Tox 的用户。LockBit 采用分层结构,较低级别的成员被分配轮值职责,以管理通信请求和问题,优先处理“在线”账户。高级的技术类的请求需要领导者或资深成员做出决策,这导致了更长的响应时间。

LockBit 持续对其恶意软件进行版本更新,每个新版本都声称具有“增强功能”、“更强的隐蔽性”、“更快的速度”或“更强的适应性”。LockBit Green 甚至基于泄露的 Conti 代码,旨在吸引前 Conti 成员。

此外,LockBit 还引入了漏洞赏金计划。这些发展表明 LockBit 并非一个静态的犯罪组织,而是一个高度“市场驱动”和“产品导向”的实体。勒索软件市场竞争的加剧以及网络安全防御技术的进步,迫使 LockBit 持续创新其恶意软件,以规避检测并保持竞争力。漏洞赏金计划可以被视为其“产品开发”成熟度的体现,旨在提高其恶意软件的鲁棒性,从而提升其在 RaaS 市场中的“产品质量”和“服务可靠性”。勒索软件团伙正在采用类似合法软件开发公司的策略,通过版本控制、功能增强和质量保证(如漏洞赏金)来维持其“业务”的盈利能力和市场份额。这使得勒索软件威胁变得更加复杂和难以根除,因为它们能够快速适应新的防御措施。

1.2 关键事件与挑战

LockBit 的发展过程中,与多名知名网络犯罪分子建立了合作关系。例如,2023年2月下旬,Bassterlord 宣布将与 LockBit 合作,并被确认为 LockBit 勒索软件行动的最新附属成员。Bassterlord 与 LockBit 的关系可追溯到2020年的夏季论文竞赛,当时 LockBit 还是一个鲜为人知的组织。LockBit 在一个俄罗斯地下黑客论坛上赞助了一场竞赛,提供5000美元奖金用于黑客和漏洞利用技术研究。

Bassterlord 提交了一篇关于勒索软件攻击中钓鱼技术的论文,并入选前五名,这促使 LockBit 邀请他作为直接黑客附属成员加入其行动。Bassterlord 甚至在2021年停止与 LockBit 合作后,仍帮助其识别并修复了2021年3月 LockBit 勒索软件中的一个漏洞,这发生在 LockBit 设立漏洞赏金计划之前。

尽管 LockBit 表面上表现出高度专业性,但其内部运营也面临诸多问题,这些问题在2023年的调查报告中被揭露:

  • 受害者数据发布困难: LockBit 在其泄露网站上持续发布被盗受害者数据方面存在严重问题,经常发出空洞的无用威胁。这个问题归因于其后端基础设施和可用带宽的限制。尽管 LockBit 在2023年7月更新了其基础设施,但这被描述为“权宜之计”,因为许多帖子仍然声称数据已发布但实际上并未发布,或者只提供文件目录而非实际数据。在某些情况下,数据甚至托管在合法的第三方文件共享平台,这对附属成员来说是一个缺点。

  • 支持等待时间过长: 由于 Tox 通信量大且其安全功能使其不够用户友好,LockBit 的合作伙伴面临漫长的服务请求响应时间。LockBit 已承认这一点并考虑创建票务系统,但这需要大量的开发工作。

  • 勒索软件更新不足: LockBit 未能在2023年6月按预期发布新的勒索软件变种。最近的“更新”LockBit Green 是一个重新利用的 Conti 变种,被分析师认为是“平庸”和过时的。这种缺乏更新的问题在于许多安全厂商现在可以检测到 LockBit Black。

  • 依赖泄露/被盗勒索软件: LockBit 积极寻求获取竞争对手(如 Royal, REvil, Alphv)的勒索软件构建器,以向附属成员提供“一站式服务”。该策略旨在为附属成员提供多种载荷选项,以防其中一个被阻止,甚至在一次攻击中部署多个勒索软件变种以索取多份赎金。

LockBit 像一家公司一样运作,拥有“客户服务”理念,并有分层结构。然而,其内部仍存在“数据发布困难”、“支持响应慢”、“更新不足”等运营问题,导致附属成员对这些问题感到不满,甚至转向竞争对手。这揭示了即使是高度组织化的网络犯罪团伙,也面临着与合法企业类似的运营挑战,如基础设施瓶颈、客户服务压力和产品开发周期。

勒索软件 RaaS 模式的成功吸引了大量附属成员,导致其运营规模急剧扩张,从而带来了合法企业常见的管理和技术挑战。这些挑战反过来又影响了其“服务质量”,可能导致附属成员流失,进而影响其整体攻击量和市场份额。了解这些内部运营问题,可以为执法机构和网络安全研究人员提供新的打击点,例如通过破坏其通信渠道、基础设施或利用其内部矛盾来削弱其运营能力。同时,这也提醒我们,即使是犯罪组织,其行为模式也可能受到经济和组织规律的影响。

1.3 执法行动与内部泄露

LockBit 在2024年和2025年遭遇了多次重大打击,这些事件对其运营和声誉产生了深远影响。

img

“Cronos 行动” (Operation Cronos) 对 LockBit 基础设施的打击及其影响 (2024年2月):

2024年2月19日,英国国家犯罪局 (NCA) 联合美国联邦调查局 (FBI)、欧洲刑警组织 (Europol) 和其他9个国家,对 LockBit 勒索软件团伙的暗网数据泄露网站进行了重大打击,代号为“Cronos 行动”。

  • 行动第一阶段,NCA 在 LockBit 的暗网泄露网站上放置了查封横幅,表明已控制其基础设施和资源,并已收集信息一段时间。他们还获取了受害者解密密钥。

  • 行动第二阶段 (2024年2月20日),NCA 将网站访问者重定向到一个新的、类似 LockBit 的网站,但其内容不再是受害者帖子,而是针对 LockBit 犯罪分子的起诉和制裁公告。登录 LockBit 勒索软件面板的附属成员收到了个性化消息,告知其面板用户名、加密货币钱包地址、受害者谈判聊天记录、IP 地址以及与 LockBitSupp 的对话记录已被执法部门收集。这被视为一次心理战行动 (PSYOP),旨在削弱团伙内部的信任。

  • 此次行动导致2人被捕,关闭了14000多个恶意账户,查封了34台服务器,并冻结了200多个加密货币账户。

LockBit 迅速建立了新的基础设施,重建了其

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值