LockBit - ransomware, który stał się korporacją
LockBit - największa grupa ransomware w historii. Model RaaS, 34% rynku w 2023, Operacja Cronos i ujawnienie tożsamości LockBitSupp. Analiza imperium cyberprzestępczego.
Wyobraźmy sobie firmę, która rekrutuje partnerów biznesowych, oferuje program bug bounty, prowadzi własny dział PR i generuje setki milionów dolarów przychodu rocznie. Brzmi jak opis startupu z Doliny Krzemowej. Tyle że ta firma szyfruje dane szpitali, banków i portów morskich, a jej “klienci” to ofiary wymuszenia. To LockBit - grupa ransomware, która przez cztery lata budowała najbardziej dochodowe imperium cyberprzestępcze w historii. Zanim organy ścigania dziesięciu krajów połączyły siły, aby je zniszczyć.
Od forum do imperium - narodziny LockBit
Historia zaczyna się w styczniu 2020 roku, kiedy na rosyjskojęzycznym forum cyberprzestępczym pojawia się oprogramowanie o nazwie LockBit. Wcześniej funkcjonowało pod prozaiczną nazwą “ABCD” - od rozszerzenia, jakie dodawało do zaszyfrowanych plików. Nowa marka to nie przypadek. Stoi za nią ambicja: zbudować ransomware, który będzie szybszy, lepszy i bardziej niezawodny niż konkurencja.
Model biznesowy? Ransomware-as-a-Service (RaaS). Twórcy LockBit dostarczają narzędzie - oprogramowanie szyfrujące, infrastrukturę płatności w kryptowalutach, stronę do publikacji wykradzionych danych. Partnerzy, zwani afiliantami, odpowiadają za to, co najtrudniejsze: włamanie do sieci ofiary, ruch boczny, wykradanie danych. Za każdy zapłacony okup afiliant zatrzymuje 80%, a twórcy LockBit inkasują 20% prowizji. Czysty, skalowalny model franchisowy - tyle że zamiast restauracji szybkiej obsługi sprzedaje się cyfrowe wymuszenie.
TIP
Czym dokładnie jest ransomware i jak się przed nim chronić? Przeczytaj nasz kompleksowy przewodnik po ransomware, w którym omawiamy mechanizmy działania, wektory ataku i strategie obrony.
Trzy wersje, jedno korporacyjne DNA
LockBit ewoluował jak komercyjny produkt - z kolejnymi wersjami, changelog’ami i nawet beta testami.
LockBit 1.0 (2020) - pierwsza wersja ustanawia fundamenty: automatyczne szyfrowanie, podwójne wymuszenie (okup za odszyfrowanie plus groźba publikacji danych) i prosty panel dla afiliantów. Nic rewolucyjnego, ale solidne rzemiosło.
LockBit 2.0 (czerwiec 2021) - premiera następuje w idealnym momencie. DarkSide (grupa odpowiedzialna za atak na Colonial Pipeline) i Avaddon zamykają działalność pod presją organów ścigania. LockBit 2.0 przejmuje ich afiliantów. Nowa wersja oferuje jedno z najszybszych szyfrowanie na rynku i rozszerza działanie na serwery Linux i VMware ESXi.
LockBit 3.0 (czerwiec 2022) - to moment, w którym cyberprzestępczość spotyka korporacyjny marketing. Twórcy wprowadzają program bug bounty - oferują od 1000 do miliona dolarów za znalezione błędy we własnym oprogramowaniu. Zapraszają badaczy bezpieczeństwa do testowania ich narzędzi. Publikują zasady, których afilianci muszą przestrzegać: zakaz atakowania szpitali (reguła łamana wielokrotnie), zakaz atakowania krajów WNP. To nie jest już grupa hakerów. To korporacja z regulaminem.
34% rynku - rok dominacji
Rok 2023 to apogeum potęgi LockBit. Grupa odpowiada za ponad jedną trzecią wszystkich ataków ransomware na świecie - 34% udziału w rynku. Dla porównania: żadna inna grupa nie przekraczała wówczas 10%. Lista ofiar czyta się jak indeks Fortune 500.
| Data | Ofiara | Skutki |
|---|---|---|
| Styczeń 2023 | Royal Mail (Wielka Brytania) | Wstrzymanie międzynarodowych przesyłek pocztowych na tygodnie |
| Lipiec 2023 | Port Nagoja (Japonia) | Zamknięcie operacji kontenerowych w porcie obsługującym 10% japońskiego handlu |
| Październik 2023 | Boeing | Wyciek ponad 43 GB wewnętrznych danych po odmowie zapłacenia okupu |
| Listopad 2023 | ICBC (Chiny) | Zakłócenie rozliczeń na rynku obligacji skarbowych USA - największy bank świata rozliczał transakcje przez pendrive’y |
Według raportu CISA, od stycznia 2020 roku afilianci LockBit zaatakowali organizacje w sektorach infrastruktury krytycznej: energetyce, transporcie, produkcji przemysłowej, usługach finansowych, ochronie zdrowia i administracji publicznej. Łączna liczba ofiar przekroczyła 2500 podmiotów w dziesiątkach krajów.
TIP
LockBit odpowiadał za 28% ataków ransomware na organizacje związane z infrastrukturą przemysłową w 2022 roku (dane Dragos). Nawet jeśli atak nie celuje bezpośrednio w systemy OT, kompromitacja sieci IT może kaskadowo wpłynąć na procesy operacyjne - od linii produkcyjnych po systemy SCADA.
Operacja Cronos - polowanie na króla
20 lutego 2024 roku świat dowiaduje się, że imperium ma pęknięcie. Brytyjska National Crime Agency (NCA) ogłasza sukces Operacji Cronos - skoordynowanej akcji organów ścigania z jedenastu krajów, w tym FBI, Europolu, policji z Francji, Niemiec, Japonii, Australii, Kanady i Nowej Zelandii.
Co dokładnie udało się przejąć?
- 34 serwery w wielu krajach, stanowiące szkielet infrastruktury LockBit
- Kod źródłowy platformy ransomware
- Ponad 1000 kluczy deszyfrujących, umożliwiających ofiarom odzyskanie danych
- 14 000 kont powiązanych z operacjami grupy
- 200 zamrożonych portfeli kryptowalutowych
- Identyfikacja 194 afiliantów i aresztowanie trzech z nich w Polsce i na Ukrainie
Ale najciekawszy element Operacji Cronos nie był techniczny - był psychologiczny. Zamiast po prostu zamknąć stronę LockBit w sieci Tor, organy ścigania ją przejęły i zaczęły na niej publikować. Komunikaty prasowe. Informacje o aresztowaniach. Odliczanie do ujawnienia tożsamości lidera. Wykorzystały taktykę zastraszania, którą LockBit stosował wobec swoich ofiar - tyle że odwróciły role. Cyberprzestępcy, przyzwyczajeni do anonimowości, po raz pierwszy zobaczyli, jak ktoś gra w ich własną grę.
Twarz za maską - kim jest LockBitSupp?
7 maja 2024 roku Departament Sprawiedliwości USA ujawnia to, co LockBitSupp - anonimowy administrator grupy - uważał za niemożliwe do odkrycia. Człowiek, który oferował 10 milionów dolarów nagrody za ujawnienie jego tożsamości, okazuje się być Dmitrijem Jurjewiczem Choroszewem, 31-letnim obywatelem Rosji z Woroneża.
Akt oskarżenia zawiera 26 zarzutów. Prokuratura twierdzi, że Choroszew zarobił co najmniej 100 milionów dolarów ze swojego 20-procentowego udziału w okupach płaconych przez ofiary. USA, Wielka Brytania i Australia nakładają na niego sankcje - zamrożenie aktywów i zakaz podróży. Departament Stanu oferuje 10 milionów dolarów za informacje prowadzące do jego aresztowania.
Choroszew, oczywiście, przebywa w Rosji - kraju, który nie wydaje swoich obywateli. Ale ujawnienie jego tożsamości niszczy to, co w świecie cyberprzestępczym jest najcenniejsze: zaufanie. Anonimowy lider, który obiecywał partnerom bezpieczeństwo, sam okazał się rozpoznany i śledzony. Afilianci zaczynają szukać alternatyw.
Czy LockBit naprawdę upadł?
Historia uczy ostrożności. Po Operacji Cronos LockBit próbował wrócić - uruchomił nowe serwery, opublikował groźby, twierdził, że FBI przejęło jedynie część infrastruktury. Ale dane mówią same za siebie: w 2024 roku żadna pojedyncza grupa ransomware nie kontrolowała więcej niż 11% rynku. Fragmentacja, która nastąpiła po upadku LockBit, zmieniła krajobraz zagrożeń.
A potem, 7 maja 2025 roku, nadszedł drugi cios. Ktoś - nie organy ścigania, lecz nieznany haker - włamał się do wewnętrznej infrastruktury LockBit i opublikował bazę danych zawierającą tysiące wiadomości negocjacyjnych, adresy portfeli Bitcoin, dane uwierzytelniające afiliantów i szczegóły operacyjne. Na zhakowanych panelach pojawił się komunikat, który zamknął koło: cyberprzestępcy zostali zhackowani.
TIP
Upadek LockBit nie oznacza końca zagrożenia ransomware. Afilianci migrują do innych platform, a model RaaS pozostaje dostępny dla nowych grup. Kluczem do obrony jest wielowarstwowa strategia: segmentacja sieci, kopie zapasowe offline, monitoring zachowań w sieci i regularne ćwiczenia reakcji na incydenty.
Lekcje dla organizacji
Historia LockBit pokazuje, że ransomware przestał być domeną samotnych hakerów. To przemysł z podziałem pracy, łańcuchem dostaw i modelem subskrypcyjnym. Obrona przed takim zagrożeniem wymaga podejścia systemowego, a nie punktowego.
Trzy rzeczy, które każda organizacja powinna wyciągnąć z tej historii:
-
Model RaaS obniża barierę wejścia. Nie trzeba być ekspertem, żeby przeprowadzić atak ransomware - wystarczy wynająć narzędzie. To oznacza więcej ataków, na więcej celów, przez mniej wykwalifikowanych napastników.
-
Infrastruktura krytyczna jest celem. Porty, banki, szpitale, producenci - LockBit nie wybierał ofiar według branży, lecz według zdolności do zapłaty. Organizacje z sektora OT muszą traktować ransomware jako realne zagrożenie operacyjne.
-
Organy ścigania działają - ale powoli. Operacja Cronos trwała miesiące. W tym czasie setki organizacji zostały zaatakowane. Nie można polegać wyłącznie na działaniach policji - obrona zaczyna się wewnątrz organizacji.
Źródła:
- Understanding Ransomware Threat Actors: LockBit - CISA Advisory AA23-165A
- The NCA announces the disruption of LockBit with Operation Cronos - National Crime Agency
- LockBitSupp’s Identity Revealed: Dmitry Yuryevich Khoroshev - BankInfoSecurity
- United States Sanctions Senior Leader of the LockBit Ransomware Group - U.S. Department of the Treasury
- LockBit Ransomware Continued to Impact OT in 2022 - Dragos
- Ransomware Trends 2023 Report - Cyberint
- How Did Authorities Identify the Alleged LockBit Boss? - Krebs on Security
- Operation Cronos’ Impact on LockBit - Trend Micro