Svijet sajber sigurnosti svjedočio je neviđenom proboju 7. maja 2025. godine kada je anonimni haker poznat kao “xoxo iz Praga” uspješno infiltrirao administrativni panel LockBita, zamijenivši njihovu Tor web stranicu porukom “Nemojte činiti kriminal, KRIMINAL JE LOŠ xoxo iz Praga”.
Ovaj smjeli napad rezultovao je potpunim kompromitovanjem i javnim objavljivanjem LockBit-ove SQL baze podataka, koja sadrži osjetljive operativne podatke od 18. decembra 2024. do 29. aprila 2025. godine.
Procurila baza podataka predstavlja jedno od najznačajnijih kršenja obavještajnih podataka u historiji ransomwarea, nudeći neviđen uvid u unutrašnje funkcionisanje velike operacije Ransomware-as-a-Service (RaaS).
Kompromitovani podaci obuhvataju ključne informacije o LockBit-ovoj partnerskoj mreži, organizacijama žrtava, transkriptima pregovora, adresama kripto novčanika i konfiguracijama ransomware-a .
Do ovog kršenja sigurnosti došlo je samo mjesec dana nakon sličnog oštećenja Everest RaaS platforme, što ukazuje na koordiniranu kampanju protiv ransomware infrastrukture.
Nakon opsežne analize, istraživači Trellixa identifikovali su i potvrdili autentičnost procurjele baze podataka, potvrđujući s visokom sigurnošću da potiče iz legitimnog administrativnog panela LockBita.
.webp)
Istraživači su otkrili da je ovaj panel olakšao generisanjem ransomware verzija koristeći varijante LockBit Black 4.0 i LockBit Green 4.0, kompatibilne sa Linux, Windows i ESXi sistemima, a istovremeno je pružao sveobuhvatan pristup interfejsima za pregovore sa žrtvama.
Vremenski period ovog proboja poklapa se sa operativnim ponovnim oživljavanjem LockBita nakon treće faze Operacije Cronos u oktobru 2024. godine.
Nakon perioda smanjene aktivnosti, grupa je u decembru 2024. godine najavila LockBit 4.0, a potom i predstavila svoj „Lite“ panel sa funkcionalnošću automatske registracije.
Ovaj novi pristup je omogućio praktično svima da se pridruže njihovom partnerskom programu uz registracijsku naknadu od 777 američkih dolara, što je označilo značajnu promjenu u njihovoj strategiji regrutacije.
.webp)
Procurili podaci otkrivaju LockBitov širok globalni doseg, sa 156 jedinstvenih klijenata spomenutih u bazi podataka i 103 potvrđene organizacije žrtava koje su učestvovale u direktnim pregovorima sa saradnicima.
Analiza geografske distribucije pokazuje da je Kina primarna meta, a slijede Sjedinjene Američke Države, Tajvan, Brazil i Turska. Proizvodni sektor pojavio se kao najčešće ciljana industrija, a slijede potrošačke usluge, softver/IT, finansije i vladine institucije.
Struktura partnerske mreže i financijsko poslovanje
Sveobuhvatna analiza procurele baze podataka LockBita otkriva sofisticirani ekosistem affiliate partnera koji se sastoji od 75 dokumentovanih članova sa različitim nivoima pristupa i operativnim mogućnostima.
Procurjeli korisnički panel sadrži detaljne informacije, uključujući lozinke u otvorenom tekstu i klasifikacije partnera, od “početnika” i “pentestera” do “prevaranata” i “provjerenih” operatera.
Među njima, samo pet saradnika – Brown, btcdrugdealer, Christopher, JamesCraig i Swan – postiglo je status “verifikovano”, što ukazuje na njihov povišeni položaj unutar organizacije.
Finansijska arhitektura koja stoji u osnovi LockBitovog poslovanja demonstrira tradicionalni RaaS model dijeljenja prihoda, pri čemu organizacija zadržava 20% svih uspješnih plaćanja otkupnine, dok partneri primaju preostalih 80%.
Analiza transakcija kriptovaluta otkrila je da je LockBit ostvario približno 2,37 miliona američkih dolara potvrđene zarade između decembra 2024. i aprila 2025. godine, pri čemu je sama organizacija primila otprilike 456.000 američkih dolara kao svoj udio.
Značajno je da je jedna isplata žrtve od 2 miliona američkih dolara od poslovanja pridružene kompanije Swan doprinijela ukupnoj zaradi LockBita sa skoro 390.000 američkih dolara.
Najuspješniji saradnik, Christopher, pokazao je stopu uspjeha od 57% u 14 organizacija žrtava, prvenstveno ciljajući azijska tržišta s početnim zahtjevima za otkupninu u rasponu od 25.000 do 120.000 američkih dolara.
Christopherova strategija pregovaranja uključivala je nuđenje značajnih popusta od 16-67%, što sugeriše proračunat pristup koji je uravnotežio agresivne početne zahtjeve s fleksibilnim konačnim poravnanjima.
Nasuprot tome, Swan je, uprkos tome što ima drugi najveći broj žrtava od 12 organizacija, postigao stopu uspjeha od samo 17%, ali je zadužio najvećom pojedinačnom isplatom otkupnine u skupu podataka.
Procurila baza podataka također je otkrila ambiciozne tvrdnje LockBita u vezi s njihovim prihodima od automatske registracije, pri čemu se operateri hvale mjesečnom zaradom od 100.000 američkih dolara samo od naknada za registraciju od 777 dolara.
Međutim, blockchain analiza povezanih Bitcoin novčanika otkrila je samo 12 transakcija od 2.338 generiranih adresa, što ukazuje na stvarnu zaradu od približno 9.324 američkih dolara tokom analiziranog perioda – što je u oštroj suprotnosti s njihovim javnim tvrdnjama i naglašava inherentnu nepouzdanost finansijskih zahtjeva sajber kriminala.
Izvor: CyberSecurityNews
