Lockbit

LockBit je kyberzločinecká skupina, která nabízí tzv. ransomware jako službu (RaaS, Ransomware-as-a-Service). Skupina vyvinula software, označovaný rovněž jako LockBit, který si mohou pronajímat útočníci. Tento ransomware umožňuje dvě hlavní taktiky útoku: zašifrování dat oběti s požadavkem na výkupné a současně vyhrožování zveřejněním dat, pokud nebude výkupné zaplaceno.^[1]

Statistika a dosah

Podle vyjádření několika vládních agentur byl LockBit v roce 2022 nejrozšířenější ransomware na světě. Na počátku roku 2023 byl odpovědný za 44 % všech incidentů spojených s ransomwarem. Mezi lednem 2020 a květnem 2023 došlo v USA přibližně k 1700 útokům s využitím LockBitu, přičemž útočníkům bylo vyplaceno kolem 91 milionů USD.^[2]^[3]

Původ a motivace

Software s názvem LockBit se poprvé objevil na ruskojazyčném kyberzločineckém fóru v lednu 2020. Ačkoli vlády skupinu formálně nepřiřadily žádnému státu, skupina sama prohlašuje, že není ruská a že působí "z Nizozemska" a je "zcela apolitická".

Vývoj a varianty

LockBit prošel několika vývojovými fázemi:^[4]^[5]

LockBit 1.0 (také známý jako .abcd)
LockBit 2.0 (2021): zavedl nástroj StealBit pro automatický přenos ukradených dat
LockBit 3.0 (2022): zavedl bug bounty program a rychlejší šifrování
LockBit-NG-Dev / LockBit 4.0 (2024–2025): ve vývoji během policejního zásahu, následně částečně zveřejněn

Techniky a taktiky

LockBit získává přístup k systémům pomocí zakoupených přístupových údajů, zranitelností (včetně zero-day), phishingových kampaní a insiderů. Po infikování systému sbírá síťová data, krade a šifruje soubory. Šifrování je prováděno pomocí kombinace AES a RSA, přičemž přípony souborů bývají změněny na ".lockbit".

Pro pohyb v síti (lateral movement) využívá nástroje jako PsExec, Cobalt Strike, Mimikatz a skripty v PowerShellu. Cílem jsou často doménové řadiče a VMware ESXi servery.

Cíle a oběti

LockBit cílí na organizace po celém světě. Nejčastější oběti jsou ve zdravotnictví, školství a veřejné správě. Mezi známé oběti patří:

Accenture (2021)
Thales, La Poste Mobile, Corbeil-Essonneská nemocnice (2022)
Royal Mail, Continental, Boeing, ICBC, Port of Nagoya (2023)^[5]
London Drugs, University Hospital Zagreb, Evolve Bank & Trust (2024)

Zásahy a rozpad

V únoru 2024 došlo k zásahu mezinárodních bezpečnostních složek (Operace Cronos), které převzaly kontrolu nad infrastrukturou LockBit, získaly dešifrovací klíče a zveřejnily nástroj pro dešifrování LockBit 3.0. Přes to skupina obnovila činnost a pokusila se o návrat. V květnu 2024 došlo k úniku interních dat skupiny včetně bitcoinových peněženek, šifrovacích klíčů a komunikace s oběťmi.^[6]

Útok na Lockbit

Skupina byla napadena neznámím útočníkem, které mu se podařilo dostat do stránek LockBit na darknetu a zanechal na stránkách vzkaz: "Don’t do crime CRIME IS BAD xoxo from Prague"^[7]

Reference

↑ Ransomware Spotlight: LockBit | Trend Micro (US). www.trendmicro.com [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
↑ GATLAN, Sergiu. New ScreenConnect RCE flaw exploited in ransomware attacks. BleepingComputer [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
↑ Ending Cyber Risk with Aurora Endpoint Security [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
↑ DAMIEN LICATA CARUSO. Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale [online]. [cit. 2025-11-15]. [de-hackers-publie-des-donnees-volees-a-la-branche-aerospatiale-de-thales-18-01-2022-Z4YNRKZ3GJGDBL5EF4JBL64TOY.php Dostupné online].
↑ ^a ^b Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?. www.latribune.fr [online]. 2022-07-08 [cit. 2025-11-15]. Dostupné online. (francouzsky)
↑ GATLAN, Sergiu. Police arrest LockBit ransomware members, release decryptor in global crackdown. BleepingComputer [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)
↑ SEDLÁK, Jan. Posílám polibky z Prahy. Záhadný sabotér XOXO from Prague trollí nejslavnější ransomwarový gang světa. Lupa.cz [online]. [cit. 2025-11-15]. Dostupné online.

[1] Ransomware Spotlight: LockBit | Trend Micro (US). www.trendmicro.com [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)

[2] GATLAN, Sergiu. New ScreenConnect RCE flaw exploited in ransomware attacks. BleepingComputer [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)

[3] Ending Cyber Risk with Aurora Endpoint Security [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)

[4] DAMIEN LICATA CARUSO. Thales refuse le chantage, des hackers publient les données volées à sa branche aérospatiale [online]. [cit. 2025-11-15]. [de-hackers-publie-des-donnees-volees-a-la-branche-aerospatiale-de-thales-18-01-2022-Z4YNRKZ3GJGDBL5EF4JBL64TOY.php Dostupné online].

[:0-5] Qui est LockBit 3.0, le cyber-rançonneur de La Poste Mobile ?. www.latribune.fr [online]. 2022-07-08 [cit. 2025-11-15]. Dostupné online. (francouzsky)

[6] GATLAN, Sergiu. Police arrest LockBit ransomware members, release decryptor in global crackdown. BleepingComputer [online]. [cit. 2025-11-15]. Dostupné online. (anglicky)

[7] SEDLÁK, Jan. Posílám polibky z Prahy. Záhadný sabotér XOXO from Prague trollí nejslavnější ransomwarový gang světa. Lupa.cz [online]. [cit. 2025-11-15]. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]