从这笔总额中，运营者抽取了 20% 的分成(约 45.6 万美元)，此外，他们还从通过该面板注册的附属机构那里“赚取”了大约 1 万至 1.1 万美元。

“这次泄露真正揭示的是他们非法勒索软件活动的复杂且最终不那么光鲜的现实。虽然有利可图，但这与他们想让世界相信的完美策划、巨额盈利的运作相去甚远。”Trellix 的研究人员指出。

美国司法部此前估计，LockBit 的头目 LockBitSupp 在 2019 年至 2024 年间“赚取”了约 1 亿美元。

LockBit 陷入困境?

一度，LockBit 是最活跃且最知名的 RaaS 运营之一，但 2025 年 5 月该组织“Lite”附属面板的被攻破只是对该组织一系列打击中的最新一次。

2024 年初，执法部门破坏了该组织的基础设施、其泄露网站、恢复了解密密钥、冻结了加密货币账户，并逮捕了一些涉嫌的附属机构成员。5 月，英国、美国和澳大利亚的执法机构公布了 LockBitSupp 的疑似身份，并对他实施了制裁。

10 月，更多 Lockbit 附属机构成员被逮捕并确认身份，12 月，美国司法部公布了对一名涉嫌为 LockBit 勒索软件组开发者的双重俄罗斯和以色列国籍人士的指控。

从 LockBit 数据泄露中获得的见解

这次数据泄露，Trellix 的研究人员认为来自 LockBit“Lite”附属机构管理面板背后的数据库，涵盖了从 2024 年 12 月 18 日到 2025 年 4 月 29 日的数据，并包含有关 LockBit 勒索软件附属机构、受害组织、聊天记录、加密货币钱包和勒索软件构建配置的详细信息。

他们对这些数据的分析揭示了：

• LockBit 组织显然正在开发其勒索软件的新版本(LockBit 5.0)，但尚未发布。

• 泄露的谈判聊天记录表明，大多数附属机构在说服目标组织支付赎金方面并不成功。而且，赎金金额也不大——大多在 2000 美元至 4 万美元之间，只有一个明显的例外：一名附属机构从一家瑞士软件/IT 公司获得了 200 万美元。

• 附属机构倾向于针对制造业、消费者服务、金融、软件/IT 和政府部门的组织。

• 一些附属机构似乎专门针对特定国家或特定行业的组织。

“我们对 2024 年 12 月至 2025 年 4 月期间 LockBit 的地理定位分析显示，中国是最受攻击的国家。”研究人员指出。

“在中国境内的高频率攻击表明，该市场受到了显著关注，可能是由于其庞大的工业基础和制造业。与偶尔探测中国目标但不加密它们的 BlackBasta 和 Conti RaaS 组织不同，LockBit 似乎愿意在中国境内运营，并忽视潜在的政治后果，这标志着他们在方法上的有趣差异。”

美国和台湾的组织也是热门目标。后者是一个名为“Christopher”的附属机构的特别喜好对象，他可能“对该地区网络或具体漏洞有专门知识”。

LockBit 对俄罗斯目标的攻击

有趣的是，研究人员发现，有两名附属机构加密了两家俄罗斯政府实体：莫斯科桥梁建设部和切巴尔库尔市政府。

一般来说，位于俄罗斯和独联体国家的组织被俄罗斯网络犯罪分子视为禁区，但附属机构可能并不在意这一界限。

在这两种情况下，LockBitSupp 都道歉了，将攻击归咎于附属机构/竞争对手/联邦调查局，并提供了免费的解密器，但据称它们并不起作用。

“这不是 LockBit 勒索软件第一次被用于攻击俄罗斯实体。2024 年 1 月，当 LockBit 冒名顶替者攻击一家俄罗斯安全公司 AN-Security 时，LockBit 表示，他们的竞争对手使用泄露的构建器来冒充 LockBit，并对他们的勒索软件程序造成声誉损害。”Trellix 的研究人员指出。

最近，Positive Technologies 报告了 DarkGaboon APT 组织利用 LockBit 3.0 勒索软件攻击俄罗斯公司的情况，该版本于 2022 年泄露，并被一些看似与 LockBit RaaS 无关联的网络犯罪组织使用。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。