LockBit 勒索軟件即服務(wù)(RaaS)運(yùn)營在 5 個(gè)月內(nèi)凈賺了約 230 萬美元，這一數(shù)據(jù)來源于 2025 年 5 月對 LockBit 附屬面板的黑客攻擊所泄露的信息。

從這筆總額中，運(yùn)營者抽取了 20% 的分成(約 45.6 萬美元)，此外，他們還從通過該面板注冊的附屬機(jī)構(gòu)那里“賺取”了大約 1 萬至 1.1 萬美元。

“這次泄露真正揭示的是他們非法勒索軟件活動(dòng)的復(fù)雜且最終不那么光鮮的現(xiàn)實(shí)。雖然有利可圖，但這與他們想讓世界相信的完美策劃、巨額盈利的運(yùn)作相去甚遠(yuǎn)。”Trellix 的研究人員指出。

美國司法部此前估計(jì)，LockBit 的頭目 LockBitSupp 在 2019 年至 2024 年間“賺取”了約 1 億美元。

LockBit 陷入困境?

一度，LockBit 是最活躍且最知名的 RaaS 運(yùn)營之一，但 2025 年 5 月該組織“Lite”附屬面板的被攻破只是對該組織一系列打擊中的最新一次。

2024 年初，執(zhí)法部門破壞了該組織的基礎(chǔ)設(shè)施、其泄露網(wǎng)站、恢復(fù)了解密密鑰、凍結(jié)了加密貨幣賬戶，并逮捕了一些涉嫌的附屬機(jī)構(gòu)成員。5 月，英國、美國和澳大利亞的執(zhí)法機(jī)構(gòu)公布了 LockBitSupp 的疑似身份，并對他實(shí)施了制裁。

10 月，更多 Lockbit 附屬機(jī)構(gòu)成員被逮捕并確認(rèn)身份，12 月，美國司法部公布了對一名涉嫌為 LockBit 勒索軟件組開發(fā)者的雙重俄羅斯和以色列國籍人士的指控。

從 LockBit 數(shù)據(jù)泄露中獲得的見解

這次數(shù)據(jù)泄露，Trellix 的研究人員認(rèn)為來自 LockBit“Lite”附屬機(jī)構(gòu)管理面板背后的數(shù)據(jù)庫，涵蓋了從 2024 年 12 月 18 日到 2025 年 4 月 29 日的數(shù)據(jù)，并包含有關(guān) LockBit 勒索軟件附屬機(jī)構(gòu)、受害組織、聊天記錄、加密貨幣錢包和勒索軟件構(gòu)建配置的詳細(xì)信息。

他們對這些數(shù)據(jù)的分析揭示了：

? LockBit 組織顯然正在開發(fā)其勒索軟件的新版本(LockBit 5.0)，但尚未發(fā)布。

? 泄露的談判聊天記錄表明，大多數(shù)附屬機(jī)構(gòu)在說服目標(biāo)組織支付贖金方面并不成功。而且，贖金金額也不大——大多在 2000 美元至 4 萬美元之間，只有一個(gè)明顯的例外：一名附屬機(jī)構(gòu)從一家瑞士軟件/IT 公司獲得了 200 萬美元。

? 附屬機(jī)構(gòu)傾向于針對制造業(yè)、消費(fèi)者服務(wù)、金融、軟件/IT 和政府部門的組織。

? 一些附屬機(jī)構(gòu)似乎專門針對特定國家或特定行業(yè)的組織。

“我們對 2024 年 12 月至 2025 年 4 月期間 LockBit 的地理定位分析顯示，中國是最受攻擊的國家。”研究人員指出。

“在中國境內(nèi)的高頻率攻擊表明，該市場受到了顯著關(guān)注，可能是由于其龐大的工業(yè)基礎(chǔ)和制造業(yè)。與偶爾探測中國目標(biāo)但不加密它們的 BlackBasta 和 Conti RaaS 組織不同，LockBit 似乎愿意在中國境內(nèi)運(yùn)營，并忽視潛在的政治后果，這標(biāo)志著他們在方法上的有趣差異。”

美國和臺(tái)灣的組織也是熱門目標(biāo)。后者是一個(gè)名為“Christopher”的附屬機(jī)構(gòu)的特別喜好對象，他可能“對該地區(qū)網(wǎng)絡(luò)或具體漏洞有專門知識(shí)”。

LockBit 對俄羅斯目標(biāo)的攻擊

有趣的是，研究人員發(fā)現(xiàn)，有兩名附屬機(jī)構(gòu)加密了兩家俄羅斯政府實(shí)體：莫斯科橋梁建設(shè)部和切巴爾庫爾市政府。

一般來說，位于俄羅斯和獨(dú)聯(lián)體國家的組織被俄羅斯網(wǎng)絡(luò)犯罪分子視為禁區(qū)，但附屬機(jī)構(gòu)可能并不在意這一界限。

在這兩種情況下，LockBitSupp 都道歉了，將攻擊歸咎于附屬機(jī)構(gòu)/競爭對手/聯(lián)邦調(diào)查局，并提供了免費(fèi)的解密器，但據(jù)稱它們并不起作用。

“這不是 LockBit 勒索軟件第一次被用于攻擊俄羅斯實(shí)體。2024 年 1 月，當(dāng) LockBit 冒名頂替者攻擊一家俄羅斯安全公司 AN-Security 時(shí)，LockBit 表示，他們的競爭對手使用泄露的構(gòu)建器來冒充 LockBit，并對他們的勒索軟件程序造成聲譽(yù)損害。”Trellix 的研究人員指出。

最近，Positive Technologies 報(bào)告了 DarkGaboon APT 組織利用 LockBit 3.0 勒索軟件攻擊俄羅斯公司的情況，該版本于 2022 年泄露，并被一些看似與 LockBit RaaS 無關(guān)聯(lián)的網(wǎng)絡(luò)犯罪組織使用。