Rzadki wyciek informacji ujawnił, jak LockBit działa w modelu startup – wraz z partnerami biznesowymi, procesem wdrażania nowych pracowników i podziałem zysków. Wyciek ten pozwolił na wgląd w działalność jednej z największych na świecie grup przestępczych zajmujących się oprogramowaniem ransomware.
Spis treści
- Wewnątrz panelu LockBit
- Dzień z życia partnera LockBit
- Rekrutacja nowych przestępców: lejek rekrutacyjny dla partnerów
- Końcowe przemyślenia: przestępczość jako biznes
Oprogramowanie ransomware nie jest już tym, czym było kiedyś – przeszło korporacyjną metamorfozę. To, co zaczęło się jako dzieło samotnych hakerów, przekształciło się w wyrafinowany model biznesowy znany jako Ransomware-as-a-Service (RaaS). W tej konfiguracji twórcy oprogramowania ransomware i sieć podmiotów stowarzyszonych współpracują jak każde legalne przedsiębiorstwo (z wyjątkiem części, w której wymuszają okup).
W przeciwieństwie do tradycyjnych firm, grupy ransomware nie publikują raportów finansowych ani informacji finansowych. Ich działania są objęte tajemnicą — dopóki coś nie pójdzie nie tak. Czasami grupy te same stają się celem ataków, a kiedy tak się dzieje, możemy rzadko zajrzeć za kulisy.
W tym artykule omówiono jeden z takich momentów. 7 maja 2025 r. panel najsłynniejszej grupy ransomware, LockBit, został zniszczony, ujawniając link do zrzutu jej wewnętrznej bazy danych. Z danych wynikało, że panel działał co najmniej od 18 grudnia 2024 r., na podstawie wczesnych wpisów testowych w bazie danych. Chociaż wyciek zwrócił uwagę ze względu na ujawnione informacje techniczne i operacyjne, niniejsza analiza przyjmuje inne podejście: skupia się na strukturze ekonomicznej stojącej za działalnością LockBit. W jaki sposób LockBit rekrutuje partnerów, zarządza operacjami i generuje zyski. W ten sposób chcemy rzucić światło na wewnętrzne funkcjonowanie podziemnej gospodarki cyberprzestępczości.
Wewnątrz panelu LockBit
Wyciekła baza danych ujawniła zaawansowany system zaplecza – w zasadzie panel kontrolny do zarządzania globalną operacją wymuszeń. Zawierał on wszystko, od kont użytkowników i profili ofiar po informacje o tworzeniu oprogramowania ransomware i wiadomości czatu wymieniane między partnerami a ofiarami.
Za pośrednictwem tego panelu partnerzy mieli dostęp do generowania dostosowanych ładunków ransomware dla różnych środowisk, takich jak Windows, Linux i ESXi. System przechowywał również szczegółowe informacje o ofiarach LockBit (lub „klientach”, jak nazywa się ich wewnętrznie). Każda ofiara miała przypisany klucz publiczny, odpowiedzialnego partnera, status płatności oraz pełną historię czatu z partnerem, w tym funkcje takie jak potwierdzenia odczytania wiadomości.
Szczególnie zaskakujący był fakt, że hasła partnerów były przechowywane w postaci zwykłego tekstu. Było to zaskakujące posunięcie dla grupy, która twierdzi, że stawia na kontrolę operacyjną. Jednak nawet syndykaty cyberprzestępcze idą na skróty w kwestii cyberbezpieczeństwa.
Zasadniczo otrzymaliśmy podgląd nowoczesnego systemu CMR (Customer Relationship Management) – tym razem nie służącego do sprzedaży produktów lub usług, ale raczej do wymuszania okupu.
Dzień z życia partnera LockBit
Partnerzy to osoby zarejestrowane w programie partnerskim LockBit, które można traktować jako franczyzobiorców w świecie oprogramowania ransomware. Po uzyskaniu dostępu do panelu otrzymują uprawnienia do tworzenia określonych wersji oprogramowania ransomware LockBit. Kompilacje te są następnie wdrażane w systemach ofiar, albo poprzez samodzielnie uzyskany dostęp, albo za pośrednictwem zewnętrznych brokerów.
Kiedy ofiara zostaje zainfekowana, jest kierowana do infrastruktury LockBit, gdzie trafia do prywatnego pokoju czatu przypisanego do partnera, który ją zainfekował. To tutaj zaczyna się prawdziwa gra: negocjacje, manipulacje i wojna psychologiczna.
Chociaż partnerzy często prezentują się jako osoby oschłe i nastawione na transakcje, logi czatu ujawniają ich bardziej manipulacyjną stronę. Partnerzy często wykorzystują wszystko, od wykreowanej pilności po subtelne groźby, aby zmęczyć ofiary i skłonić je do zapłaty.
Po uzgodnieniu okupu partner generuje nowy portfel Bitcoin (w naszym przypadku nazwiemy go portfelem okupu) w celu otrzymania płatności. Portfele te są tworzone i kontrolowane przez partnera, a zatem nie są bezpośrednio przechowywane w bazie danych panelu LockBit. Można je znaleźć na czatach negocjacyjnych.
Po otrzymaniu okupu partner afiliacyjny ma obowiązek przesłać 20% okupu do portfela prowizyjnego (adres portfela, który jest wstępnie generowany i przechowywany w panelu dla każdej pary partner-ofiara). Te portfele prowizyjne są kontrolowane przez LockBit i służą jako część okupu należąca do grupy.
Udział partnerów (80%) jest zazwyczaj szybko przenoszony przez dodatkowe portfele lub kryptomiksery (usługi mające na celu ukrycie pochodzenia środków), a portfele prowizyjne pozostają w dużej mierze nietknięte. Środki pozostają w stanie uśpienia, prawdopodobnie czekając na moment, w którym będą mogły zostać wypłacone bez zwracania uwagi organów ścigania.
Rekrutacja nowych przestępców: lejek rekrutacyjny dla partnerów
LockBit tworzy listę zaproszeń w swoim panelu, z których każde zawiera konkretny portfel Bitcoin lub Monero oraz kwotę do zapłaty. Opłata dla potencjalnych partnerów wynosi od około 700 do 810 dolarów. Po przekazaniu tej opłaty LockBit tworzy nowego użytkownika w bazie danych i nadaje mu rolę nowicjusza. Następnie partner otrzymuje oficjalny dostęp do panelu i może wdrożyć oprogramowanie ransomware LockBit oraz korzystać z infrastruktury do negocjacji okupu. Koszty rozpoczęcia działalności, wersja przestępcza.
Zrzut zawierał ponad 3600 zaproszeń, a portfele były przeznaczone do uiszczania opłaty za pomocą Bitcoin lub Monero. Ze względu na trudną identyfikowalność portfeli Monero nie możemy z całą pewnością określić łącznej liczby opłat za panel. Jednak spośród zaproszeń, w których wykorzystano Bitcoin, tylko 12 użytkowników faktycznie uiściło opłatę za zaproszenie podczas działania panelu.
Obraz przychodów
Każdy klient LockBit ma wpis w tabeli panelu. Grupa gromadzi dane o stronie internetowej ofiary, jej przewidywanych przychodach, tym, czy jest ona ważnym klientem, czy nie, oraz przypisanym jej głównym kluczem publicznym (tabele w bazie danych zawierają również kolumnę dla klucza prywatnego, jednak jest ona pusta dla każdej ofiary). Od grudnia 2024 r. baza danych zawierała łącznie 246 ofiar, z których 208 faktycznie połączyło się z dedykowanym czatem i rozpoczęło negocjacje. Jednak po zbadaniu portfeli prowizji i okupu tylko 19 osób zapłaciło okup. Łączna kwota wymuszonego okupu wyniosła 24,8 BTC (2 660 484 USD na dzień 26 czerwca 2025 r.), z czego 20% trafiło do operatorów LockBit, a 80% do partnerów.
Poniższe dane przedstawiają harmonogram wraz z kwotą prowizji LockBit (20% prowizji, która trafiła do LockBit) oraz liczbą ofiar, które zostały pomyślnie zaatakowane i zapłaciły okup.
W sumie w panelu zarejestrowanych było 40 aktywnych partnerów. Dziesięciu z nich zarejestrowało się, płacąc opłatę za zaproszenie, a reszta uzyskała status partnera w nieznany sposób – prawdopodobnie byli partnerami jeszcze przed utworzeniem panelu lub zarejestrowali się w inny sposób. Spośród wszystkich zarejestrowanych partnerów 35 rozpoczęło negocjacje, ale tylko 10 z nich osiągnęło pewien zysk. Na poniższych wykresach możemy zobaczyć 10 najlepszych partnerów i ich sukcesy (80% wyłudzonego okupu), a także liczbę wiadomości, które wymienili z ofiarami.
Końcowe przemyślenia: przestępczość jako biznes
Wyciek panelu LockBit jest jednym z najwyraźniejszych przykładów, jakie widzieliśmy, na to, jak Ransomware-as-a-Service funkcjonuje jak start-up technologiczny, z tą różnicą, że jego „propozycją wartości” jest strach, presja i wymuszenia.
Biznes był napędzany przez zaskakująco systematyczny model partnerski, wbudowaną infrastrukturę i zachęty finansowe. Pomimo zalewu zaproszeń i krzykliwych obietnic większość partnerów nigdy nie otrzymała wynagrodzenia. Spośród 246 wymienionych ofiar tylko 19 otrzymało zapłatę, co sugeruje, że większość osób albo nie miała środków, albo po prostu odmówiła współpracy. Jeśli wszystko to brzmi jak parodia prezentacji startupu wspieranego przez fundusz venture capital, to w pewnym sensie tak właśnie jest. Jednak wpływ jest realny, a zyski (choć mniejsze niż sugerują nagłówki gazet) nadal wystarczają, aby sfinansować kolejną falę innowacji w zakresie wymuszeń.
Czytelnicy zainteresowani bardziej technicznym opisem panelu LockBit i jego komponentów mogą zapoznać się z dogłębną analizą inżynierii odwrotnej opublikowaną przez firmę Trellix, dostępną tutaj.
Źródło zdjęć: Gen Digital, Depositphotos.com
Materiał przygotowany przez CORE - Norton, Avast i AVG w Polsce