LockBit 管理员面板泄露内幕：附属机构、受害者和数百万加密货币

引言

2025 年 5 月 7 日，LockBit 管理员面板被一名匿名黑客入侵，该黑客将其 TOR 网站替换为文本“ 不要犯罪犯罪是坏事来自布拉格 ”，并在一个名为“paneldb_dump.zip”的归档文件中分享了其管理员面板数据库的 SQL 转储：

一个月前，在被篡改的 Everest 勒索软件即服务 (RaaS) TOR 网站上观察到了类似的消息：

关于被确认为 '来自布拉格的 xoxo' 的个人的信息不多，其目标似乎是逮捕恶意勒索软件威胁行为者。一个主要的勒索软件组织的网站被篡改是不寻常的；更不用说它的管理面板被攻破了。这个泄露的 SQL 数据库转储非常重要，因为它提供了对 LockBit 附属机构的运营方法以及他们用来从受害者那里获得赎金的谈判策略的见解。

研究人员对泄露的 SQL 数据库的调查高度确认该数据库源于 LockBit 的附属机构管理面板。该面板允许为受害者生成勒索软件构建，利用 LockBit Black 4.0 和 LockBit Green 4.0，兼容 Linux、Windows 和 ESXi 系统，并提供对受害者谈判聊天的访问。

泄露的 SQL 数据库转储包含了从 2024 年 12 月 18 日到 2025 年 4 月 29 日的数据，其中包括与 LockBit 广告（又名勒索软件附属机构）、受害者组织、聊天记录、加密货币钱包和勒索软件构建配置相关的详细信息。

以下是数据库模式的概述：

SQL 转储中缺少表约束最初引发了对所提供数据的真实性和完整性的担忧，然而，对泄露数据的进一步分析表明，LockBit 的广告、受害者组织、谈判策略和收益方面存在大量情报和见解。 本博客将讨论这些发现的详细信息。

LockBit RaaS 的回归

自 2024 年 10 月 1 日“Cronos 行动 ”的第三阶段以来，研究人员注意到 LockBit RaaS 团伙的行动节奏有所下降。 这种活动减少的时期一直持续到 2024 年 12 月 19 日，当时该组织宣布发布其最新的勒索软件变种，即 LockBit 4.0：

从泄露的管理面板日志中，我们发现大约在 LockBit 设置其新的附属面板（他们称之为“Lite”面板）的同时，该面板具有自动注册功能，LockBit 决定向公众开放其管理面板，并邀请任何想在其“目标”（即潜在的勒索软件受害者组织）上工作的人加入他们，只需支付 777 美元的注册费：

2025 年 4 月初，研究人员观察到 LockBit 威胁行为者在地下论坛上的活动有所增加，他们在论坛上宣传其勒索软件 LockBit 5.0 的即将到来的更新：

图 6 的翻译：

Rehub: 你们为什么突然变得这么活跃？没客户了吗？
LockBit: 正在为 5.0 版本的发布逐步开展公关活动，发布后你们会看到我们更加活跃。
LockBit: 我能想象到 5.0 版本发布后，那些警察气得屁股冒火的样子。
Haise: 那只是你的幻想罢了))
LockBit: 我已经幻想了6年了，你这样的人我见得多了。
LockBit: 不管是联邦调查局（FBI）那些无助的小猫，还是那些自大的研究人员，都奈何不了我。
InstallHUB: 5.0 版本预计什么时候发布？

图 7 的翻译：

LockBit：亲吻这个聊天里的每一个人，我要去完成 5.0 版本的更新了，发布之后我会赞美所有的警察，并且会为了这条街站在这里，伙计们都属于我，而我属于伙计们。

在 LockBit 的管理面板泄露事件发生后，LockBit 告知他们正忙于开发 LockBit 5.0。然而，由于 FBI 的干预导致运营中断，RansomHUB RaaS 附属机构涌入寻求替代方案，这使得在 LockBit 5.0 更新完成之前，必须加速运营的重新激活。LockBit 的犯罪分子建议，在未完成 LockBit 5.0 的情况下激活其运营的决定，有利于识别 LockBit 的基础设施弱点并加强其运营优势：

图 8 的翻译：

LockBit: 我还没开始进行公关活动。我来论坛是因为FBI黑了RansomHub之后，
大量的推广伙伴（adverts）开始密集地联系我，所以我不得不在完成5.0更新之前就出来活跃一下。
但我并不后悔，因为FBI既指出了我的弱点，也让我看清了我的强项。
现在你们等着吧，FBI会把你们一个一个地干掉，而我会留下来。

LockBit: 我的资金储备足够我一辈子不盈利或只赚取微薄利润地运作下去。
我工作主要不是为了钱，而是出于对推广伙伴们的尊重和对FBI的蔑视。
只要还有哪怕一个推广伙伴跟我合作，我就会继续干下去。
现在我有75个，在5.0版本更新发布后，将会有300个。

在地下论坛上，LockBit 试图淡化其管理面板泄露事件的重要性，声称正在对该事件的原因进行调查。他们坚称解密密钥和被盗数据仍然安全，并且他们的完整管理面板和博客仍然可以运行。此外，LockBit 建议所有产生超过 1000 万美元收入的勒索软件运营都容易受到黑客攻击：

图 9 的翻译：

LockBit: 我正在研究他们是怎么黑进来的，等我找到漏洞了会告诉你们。根据最新的消息，只要有超过1000万美元（10kk+）的赎金出现，大家就都会被黑。
Haise: 还是先找到你自己的漏洞吧）
LockBit: 有一点我很确定，没有一个解密器被搞坏，被盗的数据也安然无恙，他们只是黑掉了聊天室而已。
$$$: :ninja:
Haise: 谦卑者必被高举，自大者必被降卑。
Haise: 说得好）
LockBit: 我他妈才不在乎，我是不可阻挡的。

LockBit 宣称他们坚不可摧，并将继续他们的 RaaS 运营。随后，他们宣布将对与被称为 ‘xoxo from Prague’ 的黑客相关的可验证信息提供赏金：

图 10 的翻译：

5月7日，那个对所有人开放自动注册功能的Lite面板被入侵了，他们拿走了数据库，
但没有任何一个解密器或任何被盗的公司数据受到影响。
我正在调查入侵是如何发生的，并着手重建。完整版面板和博客都已在正常运行。

据称，黑客是一个来自布拉格、名叫xoxo的人。我愿意出钱购买任何与他相关的信息，但前提必须是真实的。

研究人员持续监控围绕 LockBit 潜在的 5.0 版本的开发情况。 截至目前，尚未观察到与即将发布的 LockBit 5.0 版本相关的任何积极的公关活动。

LockBit 泄露数据的分析

以下章节将介绍从 LockBit 泄露的管理员面板数据中得出的重要发现。本次分析包括对针对俄罗斯组织的攻击、受害者模式、附属机构的详细信息、与目标实体的谈判策略以及 LockBit 勒索软件行动的总体收益的见解。

对俄罗斯实体的攻击

据报道，LockBit 团伙的两个勒索公告（代号 king457533579 和 amleto）加密了两个俄罗斯政府实体：莫斯科桥梁建设部 (gormost.mos.ru) 和切巴尔库尔市政府 (chebarcul.ru)。

在这两起事件中，LockBit 团伙都表示道歉并免费提供了数据解密器。他们声称“这是我们竞争对手的伎俩和所作所为”，或者相关发布勒索信息的账户被入侵且密码已被更改。这可能暗示着联邦调查局（FBI）正在采取行动，旨在破坏 LockBit 的声誉并设局陷害他们。

似乎在 king457533579 实施的针对 gormost.mos.ru 的勒索软件攻击中，受害者组织无法解密文件，而接管谈判的 LockBit 运营者本人则建议 “设置我的人使用十六进制编辑器更改了储物柜中的密钥，因此文件无法解密，我也帮不了你”：

图 11：LockBit 与 gormost.mos.ru 的谈判聊天记录

对于 chebarcul.ru 的案例，受害者被告知他们将免费获得解密密钥，然而提供的解密器无法使用，市政管理部门变得紧张，对 amleto 说 ‘ 帮助我们恢复，否则我们将联系（俄罗斯）联邦当局’：

图 12：LockBit 与 chebarcul.ru 的谈判聊天记录

这并非 LockBit 勒索软件首次被用于攻击俄罗斯实体。2024 年 1 月，当 LockBit 冒充者 攻击一家俄罗斯安全公司 AN-Security 时，LockBit 声明他们的竞争对手使用泄露的构建器来冒充 LockBit，并对他们的勒索软件程序造成声誉损害。

受害者分析

在泄露的数据库中提及的 156 个独立客户中，我们确定了 103 个与 LockBit 附属机构进行谈判的受害组织。那些被确定为潜在受害者，但没有谈判记录，只有构建生成记录的实体，被排除在分析之外。同样，涉及附属机构/开发人员面板评估的测试案例，以及第三方组织实验的案例，例如 vx-underground 评估 LockBit 管理面板并生成 LockBit 4.0 勒索软件构建，也被排除在外。

此外，在 103 个受害组织中，有 12 个受害者的公司名称出现在 LockBit 的泄密博客上，还有一个出现在 RansomHUB 的数据泄露网站上，时间范围为 2025 年 1 月 14 日至 2025 年 5 月 9 日（甚至在 LockBit 管理面板泄露事件发生后两天），验证了所分析的数据集。

根据“builds_configurations”表中的“company_website”和“comment”字段，我们尝试识别受影响的受害者组织，并在可能的情况下，使用受害者组织的行业/领域及其地理位置来丰富数据集。随后的分析将侧重于 LockBit 勒索软件攻击的五个主要受害行业和国家。

我们对 LockBit 从 2024 年 12 月到 2025 年 4 月的地理目标分析显示，东大是受攻击最严重的，包括 Iofikdis、PiotrBond 和 JamesCraig 在内的多个附属机构对东大组织进行了多次攻击。攻击集中在东大表明他们高度关注这个市场，这可能是由于其庞大的工业基础和制造业。与偶尔试探东大目标但未加密的 BlackBasta 和 Conti RaaS 组织不同，LockBit 似乎愿意在东大境内运作，并无视潜在的政治后果，这标志着他们在策略上出现了一个有趣的差异。

从泄露的数据来看，美国是受攻击次数第二多的，其中像 BaleyBeach、umarbishop47 和 btcdrugdealer 这样的不同关联方主导了这些行动。值得注意的是，针对美国的攻击似乎分布在不同的关联方之间，这表明了一种更具机会主义色彩的方法，而不是专门的定向攻击。

中国台湾是受攻击次数第三多的，其中 Christopher 展现出特别集中的攻势，进行了多次连续攻击。这种由单个关联方进行的集中攻击可能表明其掌握了该地区网络的专业知识，或者正在利用特定的漏洞。

巴西和土耳其位列前五大目标，像 Swan、Christopher 和 JamesCraig 这样的关联方在这些地区开展行动。有趣的是，Swan 展示了广泛的地理覆盖范围，目标包括奥地利、捷克共和国和瑞士在内的多个欧洲国家，这表明其具备在不同监管环境中运作的复杂能力。

如图 14 所示，制造业是被攻击最频繁的行业，像 PiotrBond、Iofikdis 和 Swan 这样的联盟特别关注这个行业。制造业的受害者在泄露的数据集中持续出现，这表明该行业的脆弱性，或者可能更容易支付赎金。

消费者服务业是第二大被攻击行业，包括 Swan、Christopher 和 albertsrun 在内的多个联盟进行了多次勒索软件攻击。该行业的重要性可能归因于其广泛的攻击面，以及可能用于数据勒索活动的有价值的客户数据。软件/IT 是另一个重要的目标，像 Iofikdis、ZachariasAcosta 和 amleto 这样的联盟特别关注科技公司。

金融部门的攻击，主要由 BaleyBeach、Christopher 和 jhon0722 实施，表明 LockBit 持续关注具有关键时间敏感性的高价值目标。政府机构总结出受影响最严重的五个部门，其中 umarbishop47、Beast 和 KoreyAllen 领导了这些特别大胆的攻击，显示出 LockBit 尽管受到更多审查，仍愿意将政府机构作为目标。

与其它 RaaS 团伙的著名关联者和联系

对泄露数据库的检查显示，“users”表中包含了 75 名附属成员的详细信息，其中包括明文密码以及他们被归类为“新手 (newbies)”、“渗透测试员 (pentesters)”、“诈骗犯 (scammers)”或“已验证 (verified)”的信息。其中，25 名附属成员拥有 TOX ID，而 Brown、btcdrugdealer、Christopher、JamesCraig 和 Swan 这五名成员更是被明确标记为“已验证”。

最成功的广告

对 LockBit 附属机构的分析揭示了勒索软件操作中一些有趣的模式。最活跃的附属机构（Christopher、Swan 和 JamesCraig）总共负责 37 个受害组织，占受害数据集的很大一部分。成功率差异很大，从 9% 到 100% 不等，但值得注意的是，受害者的数量增加并不一定意味着更高的成功率。当处理多个受害者时，最成功的运营商的成功率保持在 17-50% 之间。最初的赎金要求从几千美元到数百万美元不等，大多数附属机构在谈判期间提供大幅折扣（10-80%）。

在下表中，我们总结了最成功的附属机构，重点关注他们向受害组织索要的初始赎金（通常是其年收入的 10%）、广告在谈判期间提供的折扣以及他们获得最终赎金支付的成功率。

注意：部分赎金金额以 BTC 计价，而非美元。我们分析了 2024 年 12 月 18 日至 2025 年 4 月 29 日期间的历史 BTC 兑美元汇率，并取平均汇率，即 1 BTC 等于 92,000 美元。未进行谈判和/或未提出赎金要求的受害者已从以下分析中剔除。

表 1. LockBit 前 10 名最成功附属机构的谈判策略和细节

以下是 LockBit 两个最活跃且成功的附属机构的资料：

Christopher（最成功的高产量运营者）：

• 地理重点：在亚洲（主要是中国台湾）有很强的影响力，并在希腊、阿联酋和菲律宾进行战略运营
• 行业多样性：制造业、金融、消费服务和酒店业
• 目标画像：持续锁定营收达 1000 万美元的公司
• 勒索策略：初始赎金要求在 25,000-120,000 美元之间（相对于公司规模而言相对适中）
• 谈判模式：大幅折扣（16-67%），表明其谈判策略灵活
• 成功率：57% - 在主要运营者中最高
• 关键见解：成功可能归功于勒索赎金要求适中且愿意谈判，尤其在亚洲市场有效

Swan（高频率，较低成功率）：

• 地理重点：欧洲业务分布广泛（瑞士、奥地利、德国），在中东也有一些业务
• 行业多样性：范围广泛——软件/IT、政府、制造业、消费服务
• 目标画像：广泛范围（500万-4500万美元营收），包括一些政府实体
• 勒索策略：雄心勃勃的初始赎金要求（2万-200万美元），在所有运营商中最高
• 谈判模式：大范围折扣（10%-80%），表明采取个案处理方式
• 成功率：17% - 尽管要求很高，但成功率适中。值得注意的是，Swan 从单一公司获得的赎金金额最高，为 200 万美元（21.1 BTC）
• 关键见解：较低的成功率可能源于最初的勒索金额过高，但一旦成功，就能获得高价值的赎金。

上述观察表明，成功的 LockBit 勒索软件附属机构通常会根据目标公司规模调整赎金金额，并侧重于特定的地理区域或行业领域，而不是广泛地针对不同的实体。 这意味着他们采用了一种经过计算的方法来锁定受害者，以优化赎金支付的可能性。

RansomHUB LockBit 附属机构

在 2025 年 3 月下旬 RansomHUB RaaS 项目终止后，泄露的数据表明，某些附属机构转移到了 LockBit RaaS 平台。事实上，LockBit 声明他们重新启动运营的主要原因是来自附属机构的持续询问。其中一个附属机构是 BaleyBeach，他似乎将 RansomHUB RaaS 的受害者转移到了 LockBit 的平台。根据泄露的谈判聊天记录，BaleyBeach 在 2025 年 4 月初与受害者进行了谈判，他告知对方 “RansomHUB 关闭了，他们转移到了 LockBit 勒索软件”。此外，BaleyBeach 告知受害组织 “您需要知道的是，我们是您数据的唯一所有者。从技术上讲，您不是向 LockBit 付款，而是向独立研究人员付款”：

RansomHUB 的另一个附属机构是 GuillaumeAtkinson，他曾于 2025 年 1 月中旬尝试与瑞典体育公司 SportAdmin 在 sportadmin.se 进行谈判，当时 RansomHUB RaaS 仍处于活跃状态。虽然泄露的 LockBit 数据中没有与受影响公司的聊天记录，但在 2025 年 2 月初，受害公司被发布在 RansomHUB RaaS 的泄密网站上，证明 GuillaumeAtkinson 可能同时与 LockBit 和 RansomHUB 合作：

HellCat LockBit 联盟

似乎联盟成员 KoreyAllen 同时与 HellCat 和 LockBit 勒索软件团伙合作。2025 年 3 月 20 日，在与一家受害公司聊天时，KoreyAllen 写道：“LockBit & HellCat 加密了你的网络，你有 39 天的时间谈判”。HellCat 勒索软件于 2024 年 11 月首次出现，此后在其 TOR 泄密网站上列出了 20 个受害组织，其中包括一家大型法国能源公司和一家主要的美国电信提供商。

KoreyAllen 很可能与绰号 Rey 有关联，后者在 LockBit 管理员面板泄露事件发生两天后发帖称 HellCat RaaS 已关闭并转移给另一方，他们与 HellCat 勒索软件再无关联：

LockBit 与 Evil Corp 的关联

2025 年 2 月 26 日，泄露数据库的“system invalid requests”表中记录了名为 Evilcorpfuckfishers 和 Evilcorpwatchyou 的两个账户的登录尝试。尽管这些标识可能只是偶然联系，但鉴于国家犯罪局（NCA）在“Cronos 行动”中已披露 LockBit 附属组织与 Evil Corp 之间存在关联，这些登录尝试显得尤为引人注目。

与 Evil Corp 网络犯罪集团有关联的个人很可能仍然与 LockBit RaaS 集团保持着业务关系。

LockBit 收益

来自受害者的收益

对 LockBit 谈判聊天的分析显示，有 18 笔已确认的付款流向了据信由 LockBit 附属机构控制的加密货币钱包（见附录 B）。根据每 1 BTC 兑换 92,000 美元的汇率，我们的调查结果显示，LockBit 勒索软件业务在 2024 年 12 月至 2025 年 4 月期间的预估收益约为 2,337,000 美元。

对“btc addresses”表（包含大约 60,000 个比特币地址）的分析表明，只有 19 个地址有交易记录。这 19 个地址似乎是 LockBit 所有者控制的加密货币钱包，根据 LockBit RaaS 联盟规则，用于接收 20% 的赎金。值得注意的是，其中 18 个地址与来自受害组织的 18 笔已确认的赎金支付相关联，每笔代表最终商定赎金金额的 20%。剩余的交易涉及 2 美元，由联盟 Dezed941 发起，可能作为对 LockBit 控制的 BTC 钱包的测试交易。因此，可以推断，近 60,000 个比特币地址并非受害者赎金支付的预期接收 BTC 地址。相反，这些 BTC 地址由 LockBit 运营商生成并分配给联盟，用于汇出他们 20% 的商定赎金份额：

表 2：LockBit RaaS 成功付款详情

总而言之，LockBit RaaS 的所有者通过赎金支付获得了大约 456,000 美元的收入。值得注意的是，这笔收入的很大一部分，将近 390,000 美元（4.22 BTC），来自广告 Swan 的一个受害者，该受害者支付了 2,000,000 美元（21.1 BTC）的赎金。

通过邀请获得的收益

泄露的 LockBit 管理员面板数据库的“邀请”表中包含 2,338 BTC 和 1,335 Monero (XMR) 钱包地址。每个尝试自动注册 LockBit 管理员面板访问权限的人都会被分配一个这样的钱包，并被要求支付 777 美元的费用。在 RAMP 地下论坛上，LockBit 声称仅从这些自动注册邀请费中，在过去六个月内赚取了大约 10 万美元：

图 19 的翻译：

LockBit 方面表示：

“精简版（lite panel）的 777 美元注册费只是一个象征性数字，
目的是为了让渗透测试人员（pentesters）付费，而不是免费使用这个面板。
这个面板已经运行了半年，以精简版面板的标准来看，它带来了可观的收入，仅通过自动注册就能每月带来 10 万美元。”
“如果你惹恼我，我将免费分发企业（corp）访问权限，并降低注册费用，这样 FBI 将面临比现在多得多的刑事案件。”
“我不想让精简版面板免费注册，这样渗透测试人员和 Fantomas 就无法免费测试我的面板。
我希望每一次渗透测试尝试都通过注册费来支付。
而那些‘正常人’可以很容易地通过精简版面板的注册来回本，之后再升级到完整版面板，成为‘已验证’的广告发布者。”

对相关比特币钱包地址的调查显示，在 2,338 个钱包中，只有 12 个钱包出现过一到两笔交易，其中受邀者向 LockBit 运营商控制的加密货币地址汇款 777 美元。其余比特币钱包未显示任何交易活动。因此，推断 LockBit 从自动注册中获得了 9,324 美元的比特币钱包交易收入，而新注册的附属机构中只有 0.5% 支付了所需的注册费。

由于 Monero 区块链固有的隐私特性，无法追踪 1,335 个 XMR 钱包地址的交易。然而，假设 Monero 地址的广告支付率为 0.5%，那么 LockBit 获得的收入约为 7 个 XMR，相当于大约 1,500 美元。

总而言之，我们认为 LockBit 从自动注册邀请中获得的收入在过去 5-6 个月内约为 10,000-11,000 美元。因此，LockBit 在 RAMP 地下论坛上声称每月从自动注册中赚取 100,000 美元的说法被认为被严重夸大了。

此外，LockBit 建议，带有自动注册功能的“Lite”管理面板专为低级别附属机构设计，而经过验证的广告则使用完整管理面板。我们的分析显示，Lite 面板拥有经过验证的附属机构，他们处理高价值目标，并获得同样可观的报酬。因此，我们认为 Lite 和完整 LockBit 管理面板之间的唯一区别在于 LockBit Lite 面板的自动注册功能，LockBit 运营商实施此功能是为了通过向所有各方扩展访问权限来增加收入。我们从泄露的数据库中发现，这种增加收入的策略效果并不明显。

结论

LockBit 管理员面板泄露事件提供了一个引人入胜且令人不安的视角，让我们得以一窥一个主要勒索软件行动的内部运作。其中有几个方面引人注目。受害者数据揭示了一些意想不到的攻击模式。尤其令人惊讶的是，针对东大和中国台湾组织的攻击如此集中。与其他勒索软件组织可能避开此类政治敏感目标不同，LockBit 似乎采用了不同的策略。

然后是附属机构使用的谈判过程。数据显示了不同的策略，最初的赎金要求从适度到过高不等。显而易见的是，大幅折扣是常态，通常在 10% 到 80% 之间，这突出了这些网络勒索企图背后的讨价还价。LockBit 内的附属机构的成功程度差异很大，这表明了技能上的差异，并可能在特定的熟悉行业和/或国家/地区有所专长。

最后，关于收益的问题。根据我们对泄露数据的分析，LockBit RaaS 在 5 个月内赚取了大约 230 万美元。然而，LockBit 声称仅从自动注册费中每月就能获得 10 万美元，这显然是夸大了。根据可追踪的交易，实际情况要低得多，几个月下来大约在 1 万到 1.1 万美元之间。这突出了一个关键点：你不能相信网络罪犯，尤其是那些从事勒索软件的人。他们会夸大他们的成功，淡化他们的失败。这次泄露真正表明的是他们非法勒索软件活动的复杂且最终不那么光鲜的现实。虽然有利可图，但远非他们希望世界相信的那种完美策划、巨额利润的行动。