我在浏览XX时，偶然看到一篇帖子，内容涉及LockBit（勒索软件最猖獗的组织之一）的最新数据泄露事件。出于好奇，我跟踪帖子，找到了这个 GitHub （https://github.com/D4RK-R4BB1T/Criminal-Leaks）仓库，里面存放着完整的泄露数据集——包含私钥、加密货币地址、内部通信记录，以及最有趣的谈判聊天记录。（如需原始文件和分析表请后台回复lockbit）

由于聊天记录是 SQL 表格式，所以重新格式化了它们，按分组clientid，并将每条消息转换成可读的来回对话。聊天记录中有208 个唯一的客户端 ID，每个 ID 代表 LockBit 勒索的不同受害者。

我们带着如下问题进行分析这个SQL（如需原始文件，可后台留言）：平均赎金是多少？有多少受害者支付了赎金？有没有内部人员参与的迹象？受害者是否陷入困境？

洞察

敲诈勒索

• 要求的最高赎金：
  
  $500,000
• 最终付款：通常在$30,000–$100,000
• 已确认付款人：
  
  32
• 拒绝者：
  
  7
• 未知结果：
  
  169

💱 折扣动态

• 明确提及的折扣：
  
  8案例
• 在某些情况下，协商的赎金被削减了50％ 或更多。

🧾一家公司以法律披露、财务状况不佳以及诉诸攻击者的“声誉”为由，将赔偿金额从 12 万美元降至 4 万美元。

🧠 心理战

📣 威胁作为策略

“你的公司会倒闭的。”
“不要报警。”
“把这当成是给你的管理员的付费培训课程。”

😢 受害者的情感诉求

208 次对话包含如下痛苦暗示：

• “请帮忙”
• “我们破产了”
• “圣诞节到了”

🎭 LockBit 的基调转变

有时是机器人，有时却出奇地有礼貌：

“也谢谢你，祝你好运。”
“我当然会回复。今天没想到你会来，我另有安排 :)”

🕵️ 内部威胁与访问

🔓 14 个对话建议内部人员或特权访问

客户端 154揭露了攻击者：

• 钓鱼经理
• 访问 Google 备份
• 转储的 NTLM 哈希
• 使用域名凭证，例如itd_1002

🔧 其他弱点包括：

• Anydesk后门
• 密码不良
• 域名配置错误

“你们的密码很简单。我们跟踪了你们管理员的活动，并等待着。”

⚠️ 犯规和信任问题

• 13名受害者怀疑自己被骗了。
• LockBit 多次捍卫自己的声誉：

“如果我们欺骗了哪怕一个客户，其他客户都不会付钱。”

⏱️ 讲述故事的时间线

• LockBit 的平均响应时间： ~18 小时
• 平均整个谈判时长：约 7.2 天
• 有些案件拖延了数周之久，受害者了解到：
• 如何谨慎购买比特币
• 如何在 KYC 门槛下拆分交易
• 如何说服不愿支付的领导层

💬 “我们试图避免留下书面记录，这是我们第一次这样做。”

📏 对话音量

• 最长的协商：客户端 182（453 条消息）
• 最短协商：客户 28（1 条消息）

🧠 最后的想法

LockBit 聊天记录泄露不仅仅是了解网络犯罪的窗口，它还是一项研究：

• 数字胁迫
• 情感讨价还价
• 运营差距
• 压力之下人类的脆弱性

原文始发于微信公众号（KK安全说）：总结分析Lockbit数据泄露的背后