W świecie cyberprzestępczości nawet najpotężniejsze grupy nie są bezpieczne. LockBit – jeden z najgroźniejszych ransomware’owych syndykatów – stał się ofiarą własnej gry. W wyniku spektakularnego włamania ujawniono 59 975 unikatowych adresów Bitcoin powiązanych z ich działalnością. To nie tylko cios w reputację gangsterów, ale też bezprecedensowa szansa dla organów ścigania.
Operacja „Crime is Bad” – jak zhakowano niezhakowanych
7 maja 2025 roku panele administracyjne LockBit na darknecie zostały zastąpione ironicznym komunikatem: „Nie popełniaj przestępstw. PRZESTĘPSTWO JEST ZŁE. xoxo z Pragi”. W tle – link do bazy danych MySQL zawierającej:
-
59 975 adresów BTC wykorzystywanych do śledzenia płatności okupu
-
4 442 wiadomości negocjacyjne z ofiarami z lat 2024-2025
-
Konfiguracje ransomware’u dla poszczególnych ataków
-
Dane logowań 75 administratorów z hasłami w plaintekscie (np. „Weekendlover69”)
Choć prywatne klucze nie wyciekły, eksperci z Bleeping Computer podkreślają: „To złoto dla śledczych. Każdy adres to nowy wątek do przecięcia sieci powiązań”2.
LockBit: od imperium do pośmiewiska
Grupa odpowiedzialna za 25% globalnych ataków ransomware w 2023 roku4, która zgromadziła ponad 200 mln USD w BTC7, właśnie straciła twarz. To już drugi poważny cios w ciągu roku – w lutym 2024 międzynarodowa operacja „Cronos” przejęła ich infrastrukturę, ujawniając 2 200 niewydanych BTC (ok. 110 mln USD)7.
Kluczowe liczby:
-
Średni koszt ataku (bez okupu): 4,45 mln USD3
-
Potencjalny łączny koszt działań: ~8 mld USD10
-
Aktywne adresy BTC (2022-2024): 500+7
Konsekwencje: blockchainowa księga sądowa
Wyciek umożliwia:
-
Śledzenie przepływów finansowych – połączenie adresów z konkretnymi atakami
-
Identyfikację afiliantów – poprzez analizę konfiguracji ransomware’u
-
Weryfikację deklaracji ofiar – porównanie publicznych zgłoszeń z logami czatów
Jak zauważa Alon Gal z Hudson Rock: „To nie jest zwykły wyciek – to mapa drogowa dla prokuratur”13.
Perspektywy dla inwestorów i ofiar
-
Rynek kryptowalut: krótkoterminowa zmienność przy dużych ruchach skonfiskowanych BTC
-
Poszkodowane firmy: szansa na odzyskanie części środków poprzez śledzenie łańcucha transakcji
-
Ubezpieczyciele: presja na weryfikację rzeczywistych wypłat okupów
Warto pamiętać, że 85 mln USD w BTC z operacji „Cronos” wciąż krąży w blockchainie7 – ich ruch może wpłynąć na kurs.
Podsumowanie: nowy rozdział w wojnie z ransomware
Wyciek udowadnia, że nawet najpotężniejsze grupy są wrażliwe. Jak powiedział dyrektor NCA: „Cyberprzestępcy powinni się bać. Ścigamy nie tylko pieniądze, ale i dane”4.
Dla inwestorów to sygnał: rynek krypto staje się coraz bardziej transparentny. Dla firm – przypomnienie, że płacenie okupów to nie tylko strata finansowa, ale też ryzyko ujawnienia w następnym wycieku.
Dane techniczne i przydatne linki
-
Aktualna cena BTC: CoinMarketCap
-
Śledzenie wyciekniętych adresów: TRM Labs
-
Pełna baza wycieku: BleepingComputer
-
Raport o kosztach ransomware’u: IBM
Wykres: Wartość przechwyconych środków LockBit (2022-2025)
| Rok | BTC | USD (mln) |
|---|---|---|
| 2022 | 1,200 | 28 |
| 2023 | 3,400 | 85 |
| 2024 | 2,200 | 110 |
| 2025 | 59,975* | 1,500* |
Adresy, nie środki. Źródło: TRM Labs, NCA710
„W cyberwojnie każda przewaga jest tymczasowa. Dzisiejszy łup może być jutrzejszą pułapką” – podsumowuje Bruce Schneier, ekspert bezpieczeństwa.