Lockbit Ransomware Gang wird gehackt, 60k Bitcoin -Adressen durchgesickert

Ransomware Group Lockbit wurde von einem Cyberangriff getroffen, der seine internen Operationen enthüllte. Fast 60.000 Bitcoin -Wallet -Adressen, die mit den Aktivitäten der Gruppe verbunden sind, wurden zusammen mit Tausenden von Opferkommunikation und detaillierten Aufzeichnungen aus seiner Backend -Infrastruktur durchgesickert.Der von Cybercriminal Forscher Rey am späten späten Mittwoch festgestellte Verstoß ereignete sich Ende April 2025. Lockbits Dark Web Affiliate -Panels von Lockbit wurden durch eine Nachricht ersetzt, die lautete: "Nicht zu Kriminalität. Kriminalität ist schlecht xoxo aus Prag." Also wurde Lockbit gerade Pwned... xD pic.twitter.com/jr94bvj2dm- Rey (@reyxbf) 7. Mai 2025"Eine grundlegende Analyse der Datenbank zeigt, dass der Dump am 29. April erstellt wurde, was darauf hindeutet, dass Lockbit an oder vor diesem Datum beeinträchtigt und anschließend am 7. Mai enthält", bestätigte Rey. Datenbelastung im Panel -DumpLaut Rey zitierte eine Analyse aus der Cybersecurity -Publikation PleepingComputer rund 20 Tabellen in der durchgesickerten Datenbank, darunter eine Tabelle von 'BTC_ADDRESSES, in denen 59.975 eindeutige Bitcoin -Brieftet -Adressen von Lockbits Ransomware -Zahlungen aufgelistet wurden.Andere bemerkenswerte Daten im Leck enthalten eine "Builds" -Tabelle, in der die von Lockbit -verbundenen Unternehmen erstellten Ransomware -Nutzlasten beschrieben werden. Die Tabelle enthält öffentliche Verschlüsselungsschlüssel und in einigen Fällen Namen von gezielten Unternehmen. Die Tabelle 'Builds_Configurations' zeigte, welche Dateien oder Server ihre Angriffe konfigurierten, um sie zu vermeiden oder zu verschlüsseln, und mehrere andere operative Taktiken, die in früheren Ransomware -Kampagnen verwendet werden.Wie in einem Tisch zu sehen ist, das als "Chats" bezeichnet wurde, gab es zwischen dem 19. Dezember 2024 bis zum 29. April 2025 über 4.400 Verhandlungsnachrichten zwischen Lockbit -Partnern und Opfern. pic.twitter.com/gjbtzqg9vm-Ransom-DB (@ransom_db) 8. Mai 2025Der Dump enthält auch eine "Benutzer" -Tabelle, die 75 Lockbit -Administratoren und verbundene Unternehmen mit Zugriff auf das Backend -Panel der Gruppe auflistet. Sicherheitsverdünnungen waren schockiert zu erkennen, dass Benutzerkennwörter im Klartext gespeichert wurden.Der Cybersecurity -Forscher Michael Gillespie erwähnte einige der exponierten Passwörter, darunter „Weekendlover69“, „MovingBricks69420“ und „LockbitProud231“. Lockbitsupp, ein bekannter Betreiber der Lockbit -Gruppe, bestätigte in einem Tox -Chat mit Rey, dass der Verstoß real sei. Dennoch bestand der Bediener darauf, dass keine privaten Schlüssel oder kritischen Daten verloren gingen. Antwort von lockbitsupp (dies ist ein übersetzendes Bild): pic.twitter.com/l54g1a5hxz- Rey (@reyxbf) 7. Mai 2025Alon Gal, Chief Technology Officer bei Hudson Rock, sagte, die Daten umfassen auch benutzerdefinierte Ransomware -Builds und einige Entschlüsselungsschlüssel. Laut Gal könnten die Schlüsseln, falls verifiziert, einigen Opfern helfen, ihre Daten wiederherzustellen, ohne Lösegeld zu zahlen.Nutzung von Server -SchwachstellenEine Analyse des SQL-Dumps ergab, dass der betroffene Server PHP 8.1.2 ausführte, eine Version, die für einen Fehler anfällig ist, den ich als „CVE-2024-4577“dent. Die Sicherheitsanfälligkeit ermöglicht die Ausführung des Remote -Codes, was erklärt, wie Angreifer in der Lage waren, die Backend -Systeme von Lockbit infiltrieren und das Exfiltrat -Lockbit infiltrieren konnten. Sicherheitsexperten glauben, dass der Stil der Verpflichtungsmeldung die Incident mit einer jüngsten Verletzung der Everest Ransomware -Website verknüpfen könnte, die das gleiche "Verbrechen ist schlecht" -Phrasierung verwendet. Die Ähnlichkeit legt nahe, dass derselbe Akteur oder die gleiche Gruppe hinter beiden Incidentliegt, obwohl keine klare Zuschreibung bestätigt wurde.Die Hacker hinter dem Verstoß haben sich nicht gemeldet, aber Kevin Beaumont, ein in Großbritannien ansässiges Sicherheits-Outfit, sagte, die Gruppe Dragonforce könnte verantwortlich sein. "Jemand hat Lockbit gehackt. Ich werde Dragonforce erraten", schrieb er über Mastodon.Laut der BBC war Dragonforce angeblich an mehreren Cyberangriffen für britische Einzelhändler beteiligt, darunter Marks & Spencer, Co-Op und Harrods.Im Jahr 2024 Operation Cronos , ein in Großbritannien geführter multinationaler Anstrengungen mit Strafverfolgungsbehörden aus zehn Ländern, einschließlich des Federal Bureau of Investigation (FBI), die Aktivitäten von Lockbit vorübergehend, obwohl die Gruppe schließlich wieder aufgetaucht war .Die Operation hat Berichten zufolge 34 Server, beschlagnahmte Krypto -Brieftaschen und mehr als 1.000 Entschlüsselungsschlüssel entdeckt. Die Strafverfolgungsbehörden sind der Ansicht, dass die Betreiber von Lockbit in Russland ansässig sind, eine Gerichtsbarkeit, die es schwierig wäre, sie vor Gericht zu stellen. Ransomware -Gangs zentrieren ihre Operationen innerhalb der Russlands Grenzen, da direkte Verhaftungen nahezu unmöglich sind.Key Differenzdraht hilft Crypto -Marken, die Schlagzeilen schnell durchzubrechen und zu dominieren