LockBit
LockBit je kyberzločinecká skupina, která nabízí tzv. ransomware jako službu (RaaS, Ransomware-as-a-Service). Skupina vyvinula software, označovaný rovněž jako LockBit, který si mohou pronajímat útočníci. Tento ransomware umožňuje dvě hlavní taktiky útoku: zašifrování dat oběti s požadavkem na výkupné a současně vyhrožování zveřejněním dat, pokud nebude výkupné zaplaceno.[1]
Statistika a dosah
[editovat | editovat zdroj]Podle vyjádření několika vládních agentur byl LockBit v roce 2022 nejrozšířenější ransomware na světě. Na počátku roku 2023 byl odpovědný za 44 % všech incidentů spojených s ransomwarem. Mezi lednem 2020 a květnem 2023 došlo v USA přibližně k 1700 útokům s využitím LockBitu, přičemž útočníkům bylo vyplaceno kolem 91 milionů USD.[2][3]
Původ a motivace
[editovat | editovat zdroj]Software s názvem LockBit se poprvé objevil na ruskojazyčném kyberzločineckém fóru v lednu 2020. Ačkoli vlády skupinu formálně nepřiřadily žádnému státu, skupina sama prohlašuje, že není ruská a že působí „z Nizozemska“ a je „zcela apolitická“.
Vývoj a varianty
[editovat | editovat zdroj]LockBit prošel několika vývojovými fázemi:[4][5]
- LockBit 1.0 (také známý jako .abcd)
- LockBit 2.0 (2021): zavedl nástroj StealBit pro automatický přenos ukradených dat
- LockBit 3.0 (2022): zavedl bug bounty program a rychlejší šifrování
- LockBit-NG-Dev / LockBit 4.0 (2024–2025): ve vývoji během policejního zásahu, následně částečně zveřejněn
- LockBit 5.0 (2025- 2026) byl vypuštěn v září 2025 po předchozích policejních zásazích a skupina ho používá k návratu na scénu. V prosinci 2025 se na darkwebových leak portálech objevily nové várky obětí označené jako LockBit 5.0, což potvrzuje aktivní nasazení.[6] [7]
Porovnání variant
[editovat | editovat zdroj]LockBit 3.0 posílil svou pozici díky pokročilé modularitě, anti‑analysis technikám a širší podpoře platby včetně Zcash, čímž výrazně zvýšil odolnost proti detekci. Následující LockBit 4.0 přinesl plně polymorfní kód, výrazně vylepšené stealth schopnosti a hybridní šifrování Curve25519 + XChaCha20, které jej posunulo mezi nejhůře detekovatelné ransomware varianty. Nejnovější LockBit 5.0 se zaměřuje na rychlost a průnik do virtualizace, nasazuje ChaCha20, dvoufázové šifrování a agresivní anti‑debug techniky, včetně cílené podpory Windows, Linux i VMware ESXi.[8][9]
Techniky a taktiky
[editovat | editovat zdroj]LockBit získává přístup k systémům pomocí zakoupených přístupových údajů, zranitelností (včetně zero-day), phishingových kampaní a insiderů. Po infikování systému sbírá síťová data, krade a šifruje soubory. Šifrování je prováděno pomocí kombinace AES a RSA, přičemž přípony souborů bývají změněny na „.lockbit“.
Pro pohyb v síti (lateral movement) využívá nástroje jako PsExec, Cobalt Strike, Mimikatz a skripty v PowerShellu. Cílem jsou často doménové řadiče a servery VMware ESXi.
Cíle a oběti
[editovat | editovat zdroj]LockBit cílí na organizace po celém světě. Nejčastější oběti jsou ve zdravotnictví, školství a veřejné správě. Mezi známé oběti patří:
- Accenture (2021)
- Thales, La Poste Mobile, Corbeil-Essonneská nemocnice (2022)
- Royal Mail, Continental, Boeing, ICBC, Přístav Nagoya (2023)[5]
- London Drugs, University Hospital Zagreb, Evolve Bank & Trust (2024)
Zásahy a rozpad
[editovat | editovat zdroj]V únoru 2024 došlo k zásahu mezinárodních bezpečnostních složek (Operace Cronos), které převzaly kontrolu nad infrastrukturou LockBit, získaly dešifrovací klíče a zveřejnily nástroj pro dešifrování LockBit 3.0. Přesto skupina obnovila činnost a pokusila se o návrat. V květnu 2024 došlo k úniku interních dat skupiny včetně bitcoinových peněženek, šifrovacích klíčů a komunikace s oběťmi.[10]
Útok na LockBit
[editovat | editovat zdroj]Skupina byla napadena neznámým útočníkem, kterému se podařilo dostat do stránek LockBit na darknetu a zanechal na stránkách vzkaz: „Don’t do crime CRIME IS BAD xoxo from Prague“.[11]
Reference
[editovat | editovat zdroj]- ↑ Ransomware Spotlight: LockBit | Trend Micro (US). www.trendmicro.com [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
- ↑ GATLAN, Sergiu. New ScreenConnect RCE flaw exploited in ransomware attacks. BleepingComputer [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
- ↑ Ending Cyber Risk with Aurora Endpoint Security [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
- ↑ DAMIEN LICATA CARUSO. Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale [online]. [cit. 2025-11-15]. [de-hackers-publie-des-donnees-volees-a-la-branche-aerospatiale-de-thales-18-01-2022-Z4YNRKZ3GJGDBL5EF4JBL64TOY.php Dostupné online].
- 1 2 Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?. www.latribune.fr [online]. 2022-07-08 [cit. 2025-11-15]. Dostupné online. (francouzsky)
- ↑ LockBit 5.0 Ransomware Lists 21 Victims On Dark Web Leak Portal [online]. 2025-12-05 [cit. 2026-02-10]. Dostupné online. (anglicky)
- ↑ LockBit 5.0 Ransomware Lists 21 Victims On Dark Web Leak Portal [online]. 2025-12-05 [cit. 2026-02-10]. Dostupné online. (anglicky)
- ↑ LockBit 3.0 (LockBit Black) [online]. [cit. 2026-02-10]. Dostupné online. (anglicky)
- ↑ LockBit 4.0 Ransomware: A Brief Analysis – Lockbit Decryptor [online]. 2025-01-13 [cit. 2026-02-10]. Dostupné online. (anglicky)
- ↑ GATLAN, Sergiu. Police arrest LockBit ransomware members, release decryptor in global crackdown. BleepingComputer [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
- ↑ SEDLÁK, Jan. Posílám polibky z Prahy. Záhadný sabotér XOXO from Prague trollí nejslavnější ransomwarový gang světa. Lupa.cz [online]. [cit. 2025-11-15]. Dostupné online.