Komunita kolem kybernetické bezpečnosti posledních pár měsíců řeší jednu velkou záhadu. Neznámá osoba, nebo možná skupina osob, takzvaně vytrollila největší ransomwarový gang světa, nechvalně známý LockBit. Útočníkovi či útočníkům se podařilo dostat do systémů LockBitu, takže tito kybernetičtí kriminálníci dostali ochutnat vlastní medicínu. Za úspěšným průnikem stojí někdo, kdo se označuje jako XOXO from Prague, v překladu z internetového jazyka polibky z Prahy.
Lupa v posledních týdnech obcházela výzkumné kybernetické týmy všeho druhu. Všichni případ XOXO from Prague sledují, ale nikdo nemá nic konkrétního. Občas se objeví nějaké divoké teorie, ale není to nic, co by bylo podložené konkrétními důkazy. Záhada, kdo za XOXO from Prague stojí, tedy zatím zůstává neobjasněná, příběh je to ale zajímavý.
Před a po operaci Cronos
Nejdříve je nutné si krátce představit samotný LockBit. Tato skupina vznikla v roce 2019 a postupně vytvořila nejničivější ransomware v historii. LockBit své nástroje pronajímal jako službu, díky čemuž si další skupiny či osoby mohly tuto kybernetickou zbraň pronajmout. Tímto způsobem šifrovaly servery a počítače obětí a požadovaly výkupné. LockBit byl oblíbený i díky tomu, že většinu příjmů nechával svým zákazníkům a bral si poplatek jen kolem 25 procent.
Skupina si tímto způsobem mohla přijít na až nižší miliardy korun, možná výrazně více. Například v roce 2022 tvořil LockBit skoro polovinu všech ransomwarových útoků na světě. Útočníci se nebáli útočit na kritickou infrastrukturu, výrobní podniky, státní organizace, nemocnice a tak dále. Kromě samotných finančních škod se vrstvila kaskáda vedlejších efektů spojených s nefunkčností systémů.
Začátkem roku 2024 proběhla policejní operace Cronos, rozjelo se zatýkání, odstavení kontrolních serverů a bylo možné vydat dešifrovací klíče. Fungování LockBitu bylo výrazně narušeno, ne však zcela zničeno. Skupina opět začala fungovat a stavět se na nohy, byť ne v takové míře. Ale ukázalo se, že je nadále zranitelná.
Pořádný průšvih
Letos v květnu se někdo naboural do stránek LockBitu na dark webu. Následně byl zveřejněn únik databáze (SQL dump v souboru paneldb_dump.zip). Zároveň byla odhalena data s citlivými informacemi. Konkrétně šlo o tisíce zpráv, které si členové LockBitu vyměňovali s oběťmi, přihlašovací údaje (některá hesla byla uložena v plaintextu, případně byla velmi slabá), konfigurace proběhlých útoků, a skoro 60 tisíc bitcoinových adres, na něž byly zasílány platby za výkupné. XOXO from Prague v květnu cílil na LockBit ve verzích 4.0. Tím to ale neskončilo a další útok proběhl v září. Tentokrát došlo ke kompromitaci LockBitu 5.0 včetně jeho důležitých technických částí.
Na dark webových stránkách LockBitu byl každopádně zanechán vzkaz: “Don’t do crime CRIME IS BAD xoxo from Prague”. V překladu tedy: “Nepáchejte zločin, zločin je špatný, polibky z Prahy.”
Od té doby se vedou debaty, kdo za touto akcí stojí. Neví se, zda je za tím jedna osoba (nějaký hacker v bílé zbroji), nebo organizovaná skupina. Objevují se také teorie o akci bezpečnostních složek, případně výzkumných týmů. Na informace o tajemném XOXO from Prague byla v prostředí dark webu vypsána finanční odměna.
Výzkumníci mají za to, že během útoku byla využita zranitelnost CVE-2024–4577, která v rámci PHP umožňuje vzdáleně spustit nebezpečný kód. Díky tomu bylo možné se dostat do back-endu LockBitu. Útok byl údajně “chirurgicky přesný”, což by mohlo naznačovat insiderské znalosti nebo pokročilé technické znalosti v podobných útocích.
Citlivým bodem útoku mohla být stránka LockBit Lite. Ta byla zprovozněna v prosinci roku 2024 s tím, že za jednorázový poplatek 777 dolarů nabízela registraci do systému takzvaných affiliate, tedy uživatelů LockBitu. Nízká vstupní bariéra do ekosystému mohla sloužit jako počáteční bod, protože panel na dark webu neměl dostatečnou kontrolu řízení přístupu a bezpečnostních pravidel.
Ničitel ransomwarů
“Pražský fantom” každopádně necílil pouze na LockBit. Stejná hláška byla zanechána také během dubnového útoku na Everest, což je další kyberkriminální skupina zabývající se šířením ransomwaru. Data zřejmě neunikla, ale byla shozena stránka a narušeny operace.
Zdá se, že se XOXO from Prague profiluje jakožto bojovník proti šifrovacímu neřádu. Výzkumníci jsou toho názoru, že útoky jsou vedeny ideologicky či hodnotově a že jejich cílem není vlastní finanční zisk.
“Někdo známý jako XOXO from Prague se objevil začátkem roku 2025 jakožto záhadný sabotér cílící na infrastrukturu ransomwaru. Jeho identita zůstává neznámá. Nebyla potvrzena spolupráce s orgány činnými v trestním řízení, hackivistickými kolektivy ani konkurenčními ransomwarovými skupinami,” shrnuli pro Lupu odborníci ze společnosti Check Point.
Reputace LockBitu je každopádně díky této akci na nízké úrovni. Bezpečnostní složky a výzkumníci získali vhled do toho, jak LockBit operuje, jaké používá vyjednávací taktiky a kudy tečou peníze. Blockchainoví analytici začali zkoumat pohyby na bitcoinových peněženkách. A spuštěny byly nástroje jako LockbitGPT pro pomoci při analýzách zmíněného SQL dumpu. XOXO from Prague.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
