Bitdefender Threat Debrief | Květen 2025

Od uzamčení ke kompromitaci: Odhalení LockBitu podněcuje hon za zpravodajskými informace o hrozbách

V tomto vydání Bitdefender Threat Debrief se věnujeme několika klíčovým vývojům v oblasti ransomwaru, včetně nedávného odhalení skupiny LockBit, vzestupu skupiny Qilin a aktualizacím o aktivitách skupiny DragonForce.

Ransomware je pohyblivý cíl, a naším cílem v tomto měsíčním přehledu Bitdefender Threat Debrief je pomoci vám zůstat o krok napřed. K tomu kombinujeme informace z otevřeně dostupných zdrojů (OSINT) – jako jsou zprávy z médií a výzkumy – s daty, která shromažďujeme analýzou tzv. Data Leak Sites (DLS), tedy webových stránek, kde ransomwareové skupiny zveřejňují informace o svých obětech. Je důležité mít na paměti, že nemůžeme nezávisle ověřit všechna tato tvrzení, ale jsme si jisti trendy, které v průběhu času pozorujeme.

Pro tento měsíční report jsme analyzovali data od 1. dubna do 30. dubna a zaznamenali jsme celkem 542 obětí ransomware.

Příběh: Odhalení LockBitu

Narušení bezpečnosti LockBitu

LockBit je skupina poskytující ransomware jako službu (RaaS), která pravidelně čelí problémům. Naposledy se jednalo o případ, kdy byli útočníci sami napadeni.

Dne 7. května 2025 se po kyberbezpečnostních fórech a sociálních sítích rozšířily zprávy o průniku, který odhalil operace skupiny LockBit. Útočník napadl stránku LockBitu 4.0 onion a zveřejnil následující zprávu: „Nepáchej zločin, ZLOČIN JE ŠPATNÝ xoxo z Prahy.“

Pachatelé průniku také na stránce zveřejnili odkaz umožňující přístup k výpisu databáze MySQL s údaji LockBitu.

Jak k průniku došlo?

Útočník, který napadl LockBit, zneužil chybu v serveru ovlivňující PHP 8.1.2. Po jejím zneužití může útočník provést vzdálené spuštění kódu.

Co bylo ukradeno a co uniklo?

Výpis databáze obsahuje údaje za posledních pět měsíců (prosinec 2024 – duben 2025). Dostupné údaje obsahují detaily o partnerském programu a nástrojích LockBitu, včetně individuálních sestavení a konfigurací pro útoky na ESXi a další systémy. V úniku jsou také uživatelské údaje (včetně hesel v nezašifrované podobě) pro 75 členů partnerského programu a téměř 60 000 bitcoinových adres. Útočník také získal tisíce chatů z databázové tabulky. Samotný builder LockBitu a dešifrovací nástroj však nebyly kompromitovány, a několik dalších domén LockBitu zůstává aktivních a nedotčených.

Jak jsou tato data užitečná?

Výzkumníci zabývající se hrozbami a bezpečnostní týmy mohou využít uniklá data ke zlepšení zpravodajství o hrozbách a a k jejich atribuci. Například bezpečnostní analytici mohou propojovat partnerské skupiny pomocí širší datové sady o nástrojích a kontaktech členů.

Tento únik dat také podnítil vytvoření LockBit GPT, který má zlepšit analýzu hrozeb a zpravodajské úkoly nezbytné k pochopení a potírání operací LockBitu.

Možná již znáteBlackBasta GPT. Po odhalení skupiny Black Basta koncem února byl tento nástroj využit k automatizaci sběru a analýzy uniklých dat, aby zjednodušil a prozkoumal vývoj v operacích Black Basty. Hudson Rock, která stojí za BlackBasta GPT, vytvořila i nový LockBit GPT.

Kdo stojí za únikem dat LockBitu?

Mohlo by jít o člena partnerského programu nebo rivala? Ačkoli existuje několik scénářů, proč by někdo napadl infrastrukturu LockBitu, jedno vysvětlení má zásadní důsledky pro LockBit i podobné skupiny. Vezměte v úvahu zprávu spojenou s útokem a jeho potenciální dopad. Stejná zpráva („Nepáchej zločin, ZLOČIN JE ŠPATNÝ xoxo z Prahy“) se objevila při napadení skupiny Everest v březnu 2025. To naznačuje, že průnik může být součástí širší snahy jiné ransomware skupiny oslabit konkurenci a získat více zdrojů, včetně členů partnerských programů a cílů.

Aktuální výzvy LockBitu

Poslední průnik přidal další položku na seznam výzev, kterým LockBit v minulosti čelil. V září 2022 unikl builder LockBitu 3.0 , což snížilo bariéru pro další skupiny, které by chtěly vytvářet šifrovací nástroje. V roce 2024 pak donucovací orgány zasáhly operace LockBitu zabavením jejich infrastruktury. Personální problémy a větší dohled nad skupinou se objevily také poté, co bylo obviněno sedm klíčových členů LockBitu, včetně vývojáře Rostislava Paneva, téměř o rok později.

Oběti LockBitu

LockBit v říjnu 2024 vypadl z našeho žebříčku Top 10 ransomware skupin, ale v následujících šesti měsících zůstal aktivní a prováděl útoky využívající ransomware LockBit a LockBit3. Počet obětí, které LockBit každý měsíc oznámil, však výrazně poklesl, a zatím se mu nepodařilo vrátit se do první desítky.

Ransomware a povědomí o bezpečnosti

Některé ransomware skupiny působí roky a mají devastující dopad na veřejný i soukromý sektor. Jiné skupiny mohou ukončit svou činnost, často v důsledku zásahů orgánů činných v trestním řízení, rozkolů uvnitř skupiny nebo vnějších faktorů, jako je konkurence a omezené zdroje.

Bez ohledu na vyspělost ransomwarové skupiny, její operační mezery nebo proměnlivý vliv, je důležité rozumět hrozbám spojeným s ransomware a osvědčeným postupům, které jsou klíčové pro zabezpečení aktiv vaší organizace. Pro podrobnou analýzu současných metod ransomware, včetně toho, jak jsou tyto útoky prováděny a jak se proti nim bránit, si přečtěte náš aktualizovaný whitepaper o ransomware.

Významné zprávy o ransomwaru

Nyní se podívejme na další důležité zprávy a objevy od posledního vydání našeho posledního dílu Bitdefender Threat Debrief.

• Qilin na prvním místě v dubnu: Skupina Qilin výrazně ovlivňuje kybernetickou scénu nejen kvůli počtu obětí, ale také kvůli používání nenápadných technik a metod obrany. Skupina a její partneři v nedávných kampaních využili .NET loadery, aby obešli běžné antivirové detekční metody – konkrétně pomocí zamlžení řídicího toku škodlivého kódu a reflexivní injekce pro načtení malwaru do paměti. V dubnu Qilin zaznamenal rekordní počet obětí, celkem 71. K tomu došlo krátce poté, co skupina navázala partnerství s DragonForce. Nyní, když RansomHub zmizel ze scény, může Qilin dál posilovat své postavení v první desítce.

• SatanLock útočí těsně za Qilinem: SatanLock se umístil na druhém místě v top 10. Tato skupina je spojována s Babuk2, která byla také známá pod přezdívkou Bjorka. Bjorka na začátku roku komunikovala se skupinou FunkSec a hledala příležitosti stát se jejím partnerem. Propojení SatanLocku s Babuk2 vyvolává otázky ohledně charakteru jejich útoků – zda budou pokračovat v ransomwarových útocích, nebo využijí taktiky typické pro Babuk2. Mezi tyto taktiky patří opětovné napadání obětí a krádež dat, což vede k vydírání nebo dražbě na uzavřeném tržišti.

• DragonForce představuje nový model ransomwarových služeb: DragonForce oznámil, že nyní funguje jako kartel. Místo toho, aby se omezoval pouze na úroveň vývojářů (tj. distribuci ransomwaru a dalších škodlivých skriptů), skupina nyní nabízí infrastrukturu a administrační panely pro hackery a partnery. Výměnou za to DragonForce získává 20 % zisků. Toto oznámení přišlo téměř dva týdny poté, co RansomHub přesunul svou infrastrukturu pod DragonForce. DragonForce není jedinou skupinou, která opustila model RaaS (Ransomware-as-a-Service). Podobné oznámení vydala také skupina Anubis, která se objevila v únoru.

• RansomHub funguje pod DragonForce: Poté, co si RansomHub v březnu připsal 70 obětí, jeho infrastruktura přestala být dostupná. RansomHub využil infrastrukturu DragonForce, což v následujících dnech vyvolalo velký zmatek. Zpočátku se mělo za to, že jde o dočasný krok. DragonForce však oznámil partnerství s RansomHub, což vyvolalo konflikty uvnitř RansomHub. Partneři RansomHub ztratili přístup ke komunikačním kanálům skupiny a někteří vyjádřili své zmatení v kyberkriminální komunitě RAMP. Po několika týdnech zůstává RansomHub stále neaktivní. Není jasné, zda přesun pod DragonForce byl plánovaný, nebo vynucený.

• RAlord se přejmenoval na Novu: Nova je ransomwarová skupina s únikovou stránkou (DLS) a blogy zaměřenými na jména a hanbu, jejichž historie sahá do března 2025. Nejde však o novou skupinu. Operace Novy lze vystopovat zpět ke skupině RAlord. Podle únikové stránky Novy jde o druhou DLS skupiny od roku 2017. Skupina nepoužívá CAPTCHA k zabezpečení své DLS. Místo toho Nova využívá tzv. CTA (Capture the Answer) test – návštěvníkům stránky jsou položeny otázky týkající se etického hackování, scénářů použití nástrojů, problémů s příkazy a XOR operací. Uživatelé, kteří odpoví správně na všechny otázky, získají přístup k DLS. Ti, kteří neuspějí, jsou přesměrováni na stránku Script Kiddies Wiki.

• BYOI útok obchází EDR: Technika „Bring Your Own Installer“ (BYOI) je využívána útočníky k obcházení ochrany EDR a anti-tampering mechanismů. Podobá se metodě „Bring Your Own Vulnerable Driver“ (BYOVD), protože využívá legitimní komponenty (v tomto případě podepsaný instalační program). Podle nedávné zprávy útočníci využívají BYOI útok, který zneužívá známou chybu v hlavním agentovi EDR. To umožňuje útočníkovi deaktivovat EDR, aniž by potřeboval přístup k jeho anti-tampering kódu, a nasadit ransomware Babuk. Tento přístup je často účinný – v nedávném testu AV-Comparatives selhala jedna ze tří bezpečnostních řešení v certifikačním testu odolnosti proti manipulaci.

• ToyMaker spolupracuje s Cactusem a poskytuje přístup k cílům: ToyMaker je skupina fungující jako zprostředkovatel počátečního přístupu (IAB). Spolupracovala s ransomwarovou skupinou Cactus a poskytovala jí přístup k systémům po zneužití zranitelností nebo využití vlastních nástrojů, jako je malware LAGTOY. Ten umí krást přihlašovací údaje, vytvářet reverzní shell a připojovat se k C2 serveru pro příjem a spouštění příkazů. Ačkoli ToyMaker je finančně motivovaná skupina, zatím není známo, jaký podíl ze zisků Cactusu získává.

TOP 10 rodin ransomwaru

Nástroj Bitdefender Threat Debrief analyzuje data z webů s úniky ransomwaru, kde útočníci zveřejňují údajný počet napadených společností. Tento přístup poskytuje cenné informace o celkové aktivitě na trhu RaaS. Je zde však určitý kompromis: odráží sice úspěch, který útočníci sami deklarují, ale informace pocházejí přímo od zločinců a mohou být nespolehlivé. Tato metoda navíc zachycuje pouze počet deklarovaných obětí, nikoli skutečný finanční dopad těchto útoků.

10 nejčastěji zasažených zemí

Ransomwarové gangy si vybírají cíle, ze kterých mohou potenciálně vytáhnout nejvíce peněz. To často znamená, že se zaměřují na vyspělé země. Zde je 10 zemí, které byly v dubnu 2025 těmito útoky nejvíce zasaženy.

10 nejvíce zasažených odvětví

Vyděračské skupiny využívající ransomware mohou cílit na organizace v ekosystému kritické infrastruktury, vybrané další organizace, které nabízejí služby šité na míru spotřebitelskému trhu, nebo útočit na obě skupiny. Zde je Top 10 odvětví, která skupiny využívající ransomware nejčastěji napadaly během dubna.

O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je měsíční seriál analyzující novinky, trendy a výzkumy hrozeb za předchozí měsíc. Nenechte si ujít další vydání BDTD. Všechna předchozí vydání BDTD naleznete zde.

O Bitdefenderu

Bitdefender poskytuje řešení kybernetické bezpečnosti a pokročilou ochranu před hrozbami stovkám milionů koncových bodů po celém světě. Více než 180 technologických značek získalo licenci a přidalo technologii Bitdefender do svých produktů nebo služeb. Tento rozsáhlý ekosystém OEM doplňuje telemetrické údaje, které již byly shromážděny z našich podnikových a spotřebitelských řešení. Pro představu o rozsahu: laboratoře Bitdefender objeví každou minutu více než 400 nových hrozeb a denně ověří 30 miliard dotazů na hrozby. To nám dává jeden z nejrozsáhlejších přehledů o vyvíjejícím se prostředí hrozeb v reálném čase.

Rádi bychom poděkovali bitdefenderům Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (seřazeno podle abecedy) za pomoc při sestavování této zprávy.

AUTOR