LockBit 控制面板沦陷：一场针对勒索团伙的“反向猎杀”

查找币:余老师 | 漏洞披露 | 2026-05-09 20:05 | 4 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 事件背景：全球头号勒索软件即服务组织 LockBit，这个自2019年9月起活跃的勒索软件即服务（RaaS）组织，曾是全球网络安全领域最令人头疼的威胁之一。因其早期版本在加密文件时添加“.abcd”后缀，也被称为“ABCD勒索软件”。该团伙以其技术成熟度、高度自动化攻击流程和高勒索成功率著称，在全球范围内对政府、企业、医疗和教育机构发动了大规模攻击，被多国安全机构列为高级持续性威胁（APT）组织。 LockBit的技术迭代路径清晰可见： - **LockBit 1.0 (2019)**：以“.abcd”加密后缀为特征，支持Windows平台，采用RSA+AES加密算法，执行效率极高 - **LockBit 2.0 (2021)**：引入自动化传播能力，大幅提升勒索效率 - **LockBit 3.0 / LockBit Black (2022)**：模块化设计，具备强大的反分析能力，并首次推出漏洞赏金计划，公开招募安全研究人员测试其勒索软件 - **LockBit Green (2023传闻版)**：疑似整合了已解散的Conti勒索团伙部分代码作为RaaS模式的典型代表，LockBit通过核心开发者提供勒索软件工具包，吸引“加盟者”（Affiliates）负责具体攻击渗透与部署，并通过赎金分成激励合作——攻击者可获得高达70%的赎金分成。其“双重勒索”策略极具压迫性：一方面加密文件，另一方面窃取数据并威胁公开，若受害者拒绝支付，数据将被挂在其专属泄露站点。技术层面上，LockBit支持Windows和Linux双平台，使用多线程加密技术与AES-NI指令集实现高性能加密，具备内网横向移动能力（如PSExec、RDP爆破等），加密前还会主动关闭数据库、删除备份等关键服务。 ## 攻击链与历史战绩 LockBit的攻击高度系统化，具备典型的APT特征，攻击链条如下： 1. 初始访问（钓鱼邮件、漏洞利用、RDP弱口令） 2. 横向移动（Mimikatz、Cobalt Strike等） 3. 权限提升 4. 数据窃取 5. 文件加密 6. 弹出勒索信息 7. 公布信息至泄露站点（若未付款）其历史战绩令人咋舌： - 2022年攻击意大利税务局，影响数百万纳税人数据 - 曾声称入侵加拿大SickKids医院，后道歉并提供解密器 - 多起制造商（防务、医疗设备等）遭LockBit加密 - 2022年第二季度，占全球勒索攻击的40%以上 - 累计影响超过1000家企业，远超Conti、REvil等老牌团伙 - 勒索成功率极高，2022年提出的1亿美元赎金中有超过一半成功到账 ## 突发事件：LockBit站点被黑今日，查找币安全团队收到情报：LockBit的.onion站点被黑。攻击者不仅接管了其控制面板，还放出了一份包含数据库的打包文件，导致LockBit的敏感信息大规模泄露，包括： - **比特币地址与私钥** - **聊天记录** - **关联公司信息** - **内部通信内容** 更具戏剧性的是，黑客在被篡改的站点上留下了意味深长的一句话：“**不要犯罪，犯罪是不好的，来自布拉格。**”随后，相关数据被上传至GitHub等平台并迅速扩散。 LockBit官方随后在其频道以俄语作出回应，核心要点如下： - **LockBitSupp**：只被攻破了带有授权码的轻量级控制面板，没有解密器被盗，也没有公司数据受损 - **承认影响**：比特币地址和对话内容被盗，确实影响声誉 - **否认核心泄露**：源代码没有被盗，Locker Builder（勒索构建器）未被获取 - **恢复计划**：已在着手恢复工作 ## 泄露内容深度分析查找币安全团队第一时间下载了相关泄露文件（仅用于内部研究用途，备份已及时删除）。我们对目录结构、代码文件和数据库内容进行了初步分析。从目录结构来看，这像是一种轻量级PHP控制面板系统，主要用于管理加盟者、分配任务、追踪赎金支付状态。数据库内容揭示了LockBit的内部运作机制： - **加盟者管理模块**：记录每个加盟者的攻击记录、赎金分成比例、活跃状态 - **支付追踪系统**：关联比特币地址与受害者信息，实时监控赎金支付状态 - **通信日志**：包含LockBit核心团队与加盟者之间的加密聊天记录 - **漏洞利用库**：记录已掌握的漏洞利用工具和攻击向量 ## 威胁评估与影响此次事件对LockBit组织的影响是多维度的： 1. **信誉崩塌**：作为以技术实力著称的勒索组织，内部系统被攻破将严重打击加盟者信心 2. **运营中断**：控制面板被接管意味着加盟者无法正常部署和追踪攻击 3. **资金链暴露**：比特币地址和私钥泄露可能导致赎金被追踪或截获 4. **法律风险**：聊天记录和关联公司信息为执法机构提供了新的调查线索尽管LockBitSupp声称核心解密器和源代码未被获取，但控制面板的沦陷已足以对其运营造成重大打击。这标志着网络空间中针对网络犯罪组织的“反向攻击”趋势正在加剧。 ## 防护建议查找币安全团队建议各方采取以下措施： - **持续情报监控**：密切跟踪LockBit的重建动态和潜在变种版本 - **关注暗网动向**：实时监测相关论坛、站点和情报源，防止二次泄露与数据滥用 - **强化RaaS威胁防御**：梳理自身暴露面，加强对RaaS工具链的识别与阻断机制 - **完善应急响应机制**：若发现与自身组织存在直接或间接关联，建议立即向主管机构通报并启动应急预案 - **资金追踪与防诈联动**：如发现有可疑支付路径流入自身平台，应结合链上监控系统加强反洗钱防范 ## 结语本次事件再次提醒我们，即便是技术能力强悍的黑客组织，也无法完全免于网络攻击。LockBit的沦陷既是执法力量的胜利，也揭示了网络犯罪生态内部的脆弱性。对于安全从业者而言，这不仅是值得研究的案例，更是持续战斗的理由。 **本文由查找币安全团队整理发布**

LockBit 控制面板沦陷：一场针对勒索团伙的“反向猎杀”

查找币安全研究院

主题延伸阅读