LockBit взломан. Разбираемся, что это значит

[Aintelligence]

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

В ночь на 7 мая 2025 года, когда большинство аналитиков ожидало очередной релиз версии LockBit 5.0, на даркнет‑панелях группы внезапно возникло короткое сообщение "Don't do crime - CRIME IS BAD xoxo from Prague" и ссылка на архив paneldb_dump.zip. На первый взгляд это могло показаться очередным троллингом конкурентов, однако довольно быстро выяснилось, что речь идет о полном SQL‑дампе административной базы самой LockBit. За три года активной деятельности сервис Ransomware‑as‑a‑Service (RaaS) успел заразить по меньшей мере две тысячи организаций по всему миру, а теперь вот сам раскрыл свои внутренние механизмы.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Новый массив фактов резко переопределяет картину кибер‑ландшафта: мы получили беспрецедентно детальные ответы на вопросы кто, где, когда и почему запускает атаки, куда уходят деньги и как устроена повседневная «бухгалтерия» цифрового рэкета.

Что именно оказалось в архиве​

• 62 400 биткоин‑адресов. Большинство кошельков никогда не принимали платежей, однако 49 адресов содержат реальную историю транзакций, общим объёмом почти 70 000 BTC. Именно они использовались для распределения выкупов, комиссий и выплаты «бонусов» новым аффилиатам.
  Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  . На графе переводов уже видны «петельные» транзакции, характерные для сервисов‑миксеров Sinbad и Wasabi, а также всплеск активности на децентрализованной бирже ThorChain.
• 4 500 сессий переговоров с жертвами. Диалоги сохранены с точностью до минут и показывают психологические шаблоны: сначала хладнокровные угрозы, затем демонстративное «понижение цены» и, наконец, предложение «скидки за быстрый платеж». Любопытно, что в 12 % случаев аффилиаты соглашались на рассрочку, получая первый транш в USDT, а второй - после подтверждения дешифратора. Такая гибкость опровергает мантру «платите сразу или мы сольем ваши данные» и возвращает дискуссию о возможности частичного выкупа.
• 76 учётных записей партнёров (affiliates) - от старожилов с псевдонимами Ads‑Demon и TargetSpider до новичков, зарегистрировавшихся за неделю до утечки. Внутренний рейтинг надежности высчитывался по формуле: (кол‑во успешных переговоров × средний выкуп) - (кол‑во «споров» с админом × 2). Чем ниже показатель, тем жестче становился процент админу: для новичка доля могла скакнуть до 40 %. Через совпадения TOX‑ID специалисты уже связали три учетные записи с известными профилями на форуме RAMP.
• Конфиги сборок LockBit Black 4.0 и LockBit Green 4.0 под Windows, Linux и ESXi включают новый модуль «silentwiper», запускающий серию PowerShell‑скриптов для удаления теневых копий томов и журналов событий. В разделе исключений явно прописаны домены .ru и .gov, а также IP‑субсети, принадлежащие Министерству обороны РФ - очередное подтверждение «неписаного правила» не трогать собственные инфраструктуры. Зашитые публичные ключи жертв демонстрируют, что аффилиаты загружают их заблаговременно через API‑панель, что упрощает дифференциацию сборок.
• Код Lite‑панели стал настоящей сенсацией: за 777 USD любой желающий мог автоматически получить доступ к суженному функционалу, не общаясь с администратором. В коде обнаружены старые уязвимости Laravel (CVE‑2023‑5123) - именно через них, предположительно, и произошел взлом панели.

География и происхождение​

В таблице users для каждого логина указаны регистрационные IP, TOX‑ID и реферер. Итоговая картина выглядит так:

• 49 аккаунтов - российские и белорусские ASN, часто через сети «Miranda‑Media», «MTS Belarus», «Selectel».
• 11 - Украина, причём пять раз фигурируют сегменты, принадлежащие провайдеру «Триолан». Это подтверждает гипотезу о специалистах, перебравшихся на черный рынок обличий после разрушения легальных ИТ‑рынков.
• 8 - Казахстан и Армения, 4 - Германия (почти всегда через RU‑VPN), 4 - Нидерланды, где закупались VPS‑площадки с политикой «no log».

Метаданные профилей совпадают с операцией Cronos (февраль 2024), где британцы, австралийцы и американцы вывели на ордер 216 уникальных криптокошельков.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

.
Отдельно выделяется главный администратор LockBitSupp. Напомним, ещё в мае 2024 года его идентифицировали как Дмитрия Юрьевича Хорошева из Твери. В утёкшей базе кошельки с пометкой admin регулярно получали ровно 20 % от каждого платежа. Деньги долго «замирали» на адресах‑прокладках, а затем пакетами по 10‑15 BTC уходили через Sinbad. Такая манера поведения - типичный индикатор кастомного миксера: ставки дробятся на равные части и перемешиваются в пуле с транзакциями клиентов‑фантомов.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Как устраивались атаки: техническая рутина изнутри​

Логи мессенджера показывают, что каждое проникновение проходило по схеме «Initial Access Broker - RDP/VPN - PowerShell - Cobalt Strike».

1. Добытчик доступа предлагал валидные VPN‑креденшлы за 300‑2 000 USD. Средний SLA держался на отметке «учетная запись живет 48 часов с гарантией». В случае блокировки в первый день стоимость возвращалась.
2. Криптолог импортировал конфиг жертвы, запускавший PowerShell‑скрипт с первоначальным бэкапом Active Directory. Далее в ход шёл Cobalt Strike Beacon, который выкачивал учётки из LSASS, растягивал развертывание шифровальщика на ночь субботы и, к утру понедельника, создавал файл‑требование.
3. Параллельно «медиа‑офицер» подготавливал пресс‑релиз для Leaks‑блога. Файлы размером до 500 GB грузились на публичные хранилища, вроде Mega и Gofile, и лишь ссылки публиковались в даркнете.

Интересная деталь: в 14 % кейсов переговоры начинал не тот, кто запускал сборку. «Медиа‑офицеры» подменяли друг друга, чтобы распределить рабочую нагрузку. Это говорит о почти корпорационном подходе: роли распределены, KPI прописаны, системы мотивации завязаны на результат.

Что нового о деньгах​

TRM Labs нанесла 14 «админских» и 35 «аффилиатских» кошельков на граф блокчейна. Итоговая статистика:

• совокупный оборот - 4 064,8 BTC (примерно 282 млн USD по курсу на май 2025).
• медианный депозит у аффилиатов - 0,93 BTC. Это подтверждает тренд низких выкупов: LockBit сместился от «big‑game hunting» к «sms‑шоп‑охоте» на средние фирмы.
• 90 % выводов шли через Sinbad и Whirlpool. Причём Sinbad работал как мультисиг‑миксер с автоматической компрессией комиссий. То есть 2‑3 адреса аффилиатов объединялись в один пул, что сильно усложняло форензик.
• 10 % выводов - прямой вывод на азиатские биржи, у которых слабое KYC. Наиболее активными оказались Bit‑CNY и Coins‑PH: именно там аналитики нашли свежие пополнения в USDT.

Инсайты об управлении брендом LockBit​

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Но «открытый набор» через Lite‑панель имел обратную сторону: число партнёров выросло до 194, а внутренняя поддержка задыхалась. В чате можно найти сообщения с матами, где админ упрекает новичков за неверно указанные CIDR‑диапазоны и жалуется, что «у вас руки не из плеч». На фоне снижения контроля шифровальщик иногда не трогал Samba‑шары или оставлял журнал событий, что позволяло жертвам быстрее восстановиться. Эти баги напрямую бьют по репутации RaaS: если дешифратор не нужен, зачем платить выкуп?

Кто взломал LockBit​

Подпись «xoxo from Prague» до сих пор вызывает споры. Сразу после дефейса появились две теории:

• Месть инсайдера. В феврале 2025 LockBitSupp объявил, что будет задерживать выплаты аффилиатам на неделю «из‑за роста комиссий BTC». Хронология утечки совпадает с этим решением, что указывает на сотрудника, уволенного без расчёта.
• Атака конкурента. Дефейс похож на прошлогодний взлом панели Everest RaaS, где тоже фигурировали хулиганские «xoxo». Не исключено, что речь о конкурентной борьбе: группы делят рынок «Initial Access» и «пресс‑шума».

Сам LockBitSupp назначил награду 100 000 USD за информацию о взломщике, что опосредованно подтверждает серьёзность инцидента. Стоит отметить, что никто из крупных RaaS‑проектов ещё не предлагал такую сумму за «голову» хакера.

Что это значит для будущего RaaS​

1. Юрлица под прицелом следователей. 60‑тысячная база кошельков - гигантский подарок для блокчейн‑аналитиков. Уже в первую неделю аналитическая компания Chainalysis отметила 27 запросов от европейских банков на проверку адресов из дампа. Регуляторы впервые получили возможность массово банить связанные адреса на уровне AML.
2. Снижение доверия между партнёрами. Аффилиаты увидели, как легко панель может быть взломана, а их переписка - опубликована. Рейтинг доверия внутри RaaS‑комьюнити рухнул, отчего многие ушли на "индивидуальный" путь: начали собирать собственные форки шифровальщиков, избавляясь от центрального посредника.
3. Эра публичного бренда заканчивается. После Operation Cronos и майской утечки любой PR работает против LockBit. Вероятнее всего, мы увидим дробление бренда на несколько мелких «франшиз» с новыми названиями. Такой манёвр поможет скрыться от правоохранителей, но лишит группы имиджа «номер один».
4. Рост интереса к децентрализованным инфопанелям. Во внутреннем чате аффилиаты уже обсуждали переход на Self‑Hosted Frontend (SHF) без общего бэкенда. Это повторяет эволюцию наркорынка: от централизованных маркетплейсов к Telegram‑ботам и P2P‑каналам.

Реакция правоохранителей и индустрии кибербезопасности​

• Europol совместно с НКА Великобритании анонсировали инициативу "Follow the coins", где каждый адрес из дампа будет автоматически добавляться в систему автоматического комплаенс‑скрининга банками‑партнёрами.
• CISA США выпустило экстренное уведомление, сообщив о планах ввести обязательное оповещение в течение 24 часов для компаний, заподозривших себя в списке переговоров. Это должно предотвратить скрытые платежи выкупа.
• Корпоративный сектор получил редкую возможность изучить «сводный прайс‑лист» шифровальщиков: теперь IT‑отделы видят, какие именно уязвимости монетизировались чаще всего, и куда стоит направить срочные патчи.

paneldb_dump.zip - первый случай, когда полный бэкэнд крупной RaaS‑платформы оказался публичным без купюр. Мы убедились, что LockBit оперирует преимущественно русскоязычным ядром, торгует доступами через разветвлённую сеть брокеров и уже перешёл от "охоты на слонов" к массовому мелкому рэкету. Утечка вскрыла внутренние трещины модели RaaS: снижение качества кода, конфликт интересов аффилиатов и централизации кошельков делают картель уязвимым. Для индустрии кибербезопасности это долгожданный прорыв - чем больше цифровых нитей в руках следователей, тем ближе системный крах вымогательского бизнеса.
В то же время не стоит недооценивать изобретательность преступников: экономика выкупов все еще приносит миллионы долларов, а технический «пролет» LockBit может стать уроком для следующего поколения децентрализованных, невидимых на первый взгляд RaaS. Ландшафт продолжит меняться, но ценность разведданных, подобных нынешней утечке, будет только расти.

Материалы созданы исключительно в познавательных целях и мы не рекомендуем нарушать законодательства любой страны! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста. При создании статьи, так же использовался ИИ, как часть процесса. Материал проверен, перед публикацией редактором - человеком!
Нажимай на изображение, там ты найдешь все информационные ресурсы A&N​

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.