Når hackere selv bliver hacket – Et dybdegående kig på LockBit-lækagen

IT-redaktøren

I en opsigtsvækkende vending er det berygtede ransomware-netværk LockBit selv blevet offer for et cyberangreb. En ukendt hacker overtog gruppens administrationspanel og lækkede følsomme data, herunder over 60.000 Bitcoin-adresser, private nøgler, interne chatlogs og oplysninger om tilknyttede virksomheder. Angrebet blev ledsaget af en besked på deres hjemmeside:

“Don’t do crime CRIME IS BAD xoxo from Prague”

Denne hændelse markerer et betydeligt slag mod LockBits omdømme og operationer.

Hvem er LockBit?

LockBit dukkede op i september 2019 og er kendt for sin Ransomware-as-a-Service (RaaS) model. Gruppen tilbyder ransomware-værktøjer til “partnere”, der udfører angrebene, hvor indtægterne deles – ofte modtager angriberne 70% af løsesummen. LockBit har stået bag angreb på virksomheder, regeringer og sundhedsinstitutioner verden over og er blevet klassificeret som en avanceret vedvarende trussel (APT) af flere nationale sikkerhedsagenturer.

Deres udvikling inkluderer:

  • LockBit 1.0 (2019): Introducerede “.abcd”-filendelsen og brugte RSA + AES-kryptering.

  • LockBit 2.0 (2021): Tilføjede automatiske spredningsfunktioner for at forbedre effektiviteten.

  • LockBit 3.0 / LockBit Black (2022): Implementerede modulært design og stærke anti-analysefunktioner; lancerede også det første bug bounty-program for ransomware.

  • LockBit Green (2023): Rygter om integration af kode fra den nu opløste Conti-ransomware-gruppe.

Teknisk set understøtter LockBit både Windows- og Linux-systemer, anvender multitrådet kryptering og AES-NI-instruktioner for høj ydeevne og kan bevæge sig lateralt inden for interne netværk. Før kryptering deaktiverer det aktivt databaser og sletter sikkerhedskopier og nøgleservices.

Det seneste brud

Den 8. maj 2025 rapporterede cybersikkerhedsfirmaet SlowMist, at LockBits onion-side var blevet kompromitteret. Hackeren udnyttede en sårbarhed i PHP for at få uautoriseret adgang til LockBits backend-systemer og administrationskonsol. Den lækkede database indeholdt:

  • Over 60.000 Bitcoin-adresser og private nøgler

  • Interne chatlogs mellem LockBit og dets ofre

  • Oplysninger om tilknyttede virksomheder og brugerkonti

LockBit bekræftede hændelsen, men hævdede, at kun et letvægtsadministrationspanel var blevet kompromitteret, og at ingen dekrypteringsværktøjer eller kildekode var blevet stjålet. Ikke desto mindre har denne hændelse rejst spørgsmål om gruppens sikkerhedsforanstaltninger og pålidelighed blandt deres partnere.

Konsekvenser og fremtidige udsigter

Dette brud kan have vidtrækkende konsekvenser for LockBits operationer. Eksponeringen af interne data underminerer deres troværdighed og kan føre til tab af partnere og indtægter. Desuden kan de lækkede oplysninger give retshåndhævende myndigheder værdifulde spor i deres bestræbelser på at bekæmpe cyberkriminalitet.

I en ironisk vending har LockBit tilbudt en dusør for information om hackeren, der kompromitterede deres systemer, selvom de selv er mål for en amerikansk regeringsdusør på op til $15 millioner.

Denne hændelse tjener som en påmindelse om, at selv de mest sofistikerede cyberkriminelle grupper ikke er immune over for angreb og understreger vigtigheden af robust cybersikkerhed for alle organisationer.

Kilde

Artiklen er baseret på information fra SlowMist: When Hackers Get Hacked: Analyzing the Breach of LockBit