Grupul ransomware Lockbit pare să fi fost atacat de hackeri
Infractorii cibernetici din grupul de extorcare Lockbit par să fi suferit chiar ei o încălcare a securității datelor, potrivit unei postări pe unul dintre site-urile web ale grupului și analiștii de securitate care urmăresc grupul.
Grupul ransomware LockBit a suferit o încălcare a datelor după ce paginile web site-ului de pe dark web au fost desfigurate și înlocuite cu un mesaj și cu un link care trimitea la o copie a bazei de date MySQL raportează BleepingComputer.
Toate panourile de administrare ale grupului ransomware menționează acum: „Nu comiteți infracțiuni, CRIMINALITATEA ESTE REA xoxo din Praga”, cu un link pentru a descărca un fișier „panelb_dump.zip”.
Christiaan Beek, director senior de analiză a amenințărilor la firma de securitate cibernetică Rapid7, a fost de acord că scurgerea de informații „arată cu adevărat autentică”. El a spus că a fost surprins de modul în care i-a expus pe hackerii Lockbit care se agită căutând chiar și plăți modeste de la întreprinderile mici.
Această arhivă conține un fișier SQL extras din baza de date MySQL a panoului de afiliere a site-ului.
Conform analizei efectuate de BleepingComputer, această bază de date conține douăzeci de tabele, unele mai interesante decât altele, și care includ:
- Un tabel „btc_addresses” care conține 59.975 de adrese bitcoin unice.
- Un tabel „builds” conține build-urile individuale create de afiliați pentru atacuri. Rândurile tabelului conțin cheile publice, dar, din păcate, nu și chei private. Numele companiilor vizate sunt, de asemenea, listate pentru unele dintre build-uri.
- Un tabel „builds_configurations” conține diferitele configurații ale atacurilor utilizate pentru fiecare build, cum ar fi serverele ESXi care trebuie omise sau fișierele care trebuie criptate.
- Un tabel „chats” este foarte interesant, deoarece conține 4.442 de mesaje de negociere între operațiunea ransomware și victime, în perioada 19 decembrie – 29 aprilie.
- Un tabel „users” listează 75 de administratori și afiliați care au avut acces la panoul de afiliere, unde cercetătorii au observat că parolele au fost stocate în text simplu. Exemple de parole în text simplu sunt „Weekendlover69”, „MovingBricks69420” și „Lockbitproud231”.
Breșa a fost confirmată de un membru al grupului. Operatorul LockBit, cunoscut sub numele de „LockBitSupp”, a confirmat breșa de securitate, declarând că nu au fost scurse chei private și nu au fost pierdute date.
Pe baza orei de generare a dump-ului MySQL și a ultimei înregistrări date din tabelul de chat-uri de negociere, se pare că baza de date a fost descărcată la un moment dat pe 29 aprilie 2025.
Nu este prima lovitură suferită de grupul infracțional
În 2024, o operațiune a forțelor de ordine numită Operațiunea Cronos a distrus infrastructura LockBit, inclusiv 34 de servere care găzduiau site-ul web cu date furate și oglinzile sale web, datele furate de la victime, adrese de criptomonede, 1.000 de chei de decriptare și panoul de afiliere.
Deși LockBit a reușit să reconstruiască și să reia operațiunile după închidere, această ultimă breșă de securitate dă o nouă lovitură reputației sale deja afectate.
Este prea devreme să spunem dacă această lovitură suplimentară la reputație va fi fatală bandei ransomware.
Alte grupuri ransomware care au experimentat scurgeri similare includ Conti, Black Basta și Everest.
Atac similar cu cel desfășurat împotriva grupului infracțional Everest
Nu este clar cine a efectuat breșa și cum a fost făcută, dar mesajul de desfigurare a site-ului dark web se potrivește cu cel folosit într-o breșă recentă a site-ului gurpului ransomware Everest, sugerând o posibilă legătură.
Atacatorul necunoscut a înlocuit și acolo conținutul site-ului web cu următorul mesaj sarcastic: „Nu faceți infracțiuni, CRIMINALITATEA ESTE REA xoxo din Praga.”
Operațiunea Everest a închis ulterior site-ul său de scurgeri, care nu se mai încarcă și acum afișează o eroare „Site Onion negăsit”.
Deși nu se știe cum a obținut atacatorul accesul la site-ul web Everest sau dacă acesta a fost chiar spart, unii experți în securitate, precum Tammy Harper, cercetător senior în informații despre amenințări la Flare, indică o potențială vulnerabilitate WordPress care ar fi putut fi exploatată pentru a ataca site-ul de scurgeri al operațiunii ransomware.
„Merită menționat faptul că Everest folosea un șablon Wordpress pentru blogul lor. Nu aș fi surprins dacă așa s-ar întâmpla acest lucru”, a spus Harper.
De la apariția sa în 2020, operațiunea ransomware Everest și-a schimbat tacticile de la extorcare corporativă exclusiv prin furt de date la includerea ransomware-ului în atacurile sale pentru a cripta sistemele compromise ale victimelor.
Operatorii Everest sunt, de asemenea, cunoscuți pentru că acționează ca brokeri de acces inițial pentru alte bande de infracțiuni cibernetice, vânzând acces la rețele corporative sparte.
În ultimii 5 ani, Everest a adăugat peste 230 de victime pe site-ul său de scurgeri de informații dark web, care este utilizat ca parte a atacurilor de dublă extorcare în care banda de ransomware încearcă să forțeze victimele să plătească răscumpărări sub amenințarea publicării fișierelor care conțin informații sensibile.
