Lockbit Ransomware Gang viene violata, 60K Bitcoin trapelati

Il gruppo Ransomware Lockbit è stato colpito da un attacco informatico che ha esposto le sue operazioni interne. Sono stati trapelati quasi 60.000 indirizzi di portafoglio Bitcoin associati alle attività del gruppo, insieme a migliaia di comunicazioni vittime e registri dettagliati della sua infrastruttura back -end.La violazione, notata per la prima volta dal ricercatore criminale cyber -criminale Rey alla fine di mercoledì, si è verificata alla fine di aprile 2025. I pannelli di affiliazione web oscura di Lockbit sono stati deturpati, sostituiti da un messaggio che diceva: "Non fare il crimine. Il crimine è cattivo xoxo da Praga", con un collegamento a un dump del database Mysql intitolato "Panelbum.zip. Quindi Lockbit ha appena ricevuto Pwned ... xD pic.twitter.com/jr94bvj2dm- Rey (@reyxbf) 7 maggio 2025"Un'analisi di base del database indica che il dump è stato creato intorno al 29 aprile, suggerendo che Lockbit è stato compromesso a tale data o prima di quella data e successivamente deturpata il 7 maggio", ha confermato Rey. Esposizione ai dati nel dump del pannelloSecondo Rey, citando un'analisi della pubblicazione di Cybersecurity BleepingComputer, c'erano circa 20 tabelle nel database trapelato, tra cui una tabella "BTC_ADDRESES" che elencava 59.975 indirizzi di portafoglio Bitcoin unici collegati ai pagamenti ransomware di Lockbit.Altri dati notevoli nella perdita includono una tabella "build", che descrive in dettaglio i payload ransomware creati dagli affiliati Lockbit. La tabella include chiavi di crittografia pubblica e, in alcuni casi, nomi di società mirate. La tabella "builds_configurations" ha mostrato quali file o affiliati dei server hanno configurato i loro attacchi per evitare o crittografare e molte altre tattiche operative utilizzate nelle precedenti campagne di ransomware.Come visto in un tavolo soprannominato "chat", c'erano oltre 4.400 messaggi di negoziazione tra gli affiliati e le vittime di Lockbit, che durano dal 19 dicembre 2024 al 29 aprile 2025. pic.twitter.com/gjbtzqg9vm-Ransom-db (@ransom_db) 8 maggio 2025Il dump espone inoltre una tabella "utenti" che elencano 75 amministratori e affiliati Lockbit con accesso al pannello back -end del gruppo. Sicurezza Sleuths è rimasto scioccato nello scoprire che le password dell'utente sono state archiviate in chiaro.Il ricercatore di Cybersecurity Michael Gillespie ha menzionato alcune delle password esposte, tra cui "Weekendlover69", "Movingbricks69420" e "LockbitProud231". Lockbitsupp, un noto operatore del gruppo Lockbit, ha confermato in una chat di tox con Rey che la violazione era reale. Tuttavia, l'operatore ha insistito sul fatto che non si erano persi chiavi private o dati critici. Risposta da Lockbitsupp (questa è un'immagine tradotta): pic.twitter.com/l54g1a5hxz- Rey (@reyxbf) 7 maggio 2025Alon Gal, Chief Technology Officer di Hudson Rock, ha affermato che i dati includono anche build di ransomware personalizzati e alcune chiavi di decrittografia. Secondo Gal, se verificati, le chiavi potrebbero aiutare alcune vittime a recuperare i loro dati senza pagare il riscatto.Sfruttando le vulnerabilità del serverUn'analisi del dump SQL ha rivelato che il server interessato esegueva PHP 8.1.2, una versione vulnerabile a un difetto che hodentcome "CVE-2024-4577". La vulnerabilità consente l'esecuzione del codice remoto, il che spiega come gli aggressori sono stati in grado di infiltrarsi ed esfiltrarsi i sistemi di backend di Lockbit. I professionisti della sicurezza ritengono che lo stile del messaggio di defacement possa collegare l'dent a una recente violazione del sito di ransomware dell'Everest, che ha utilizzato lo stesso fraseggio "crimine è cattivo". La somiglianza suggerisce che lo stesso attore o gruppo potrebbe essere dietro entrambe ledent, sebbene non sia stata confermata un'attribuzione chiara.Gli hacker dietro la violazione non si sono fatti avanti, ma Kevin Beaumont, un abito di sicurezza con sede nel Regno Unito, ha affermato che il gruppo Dragonforce potrebbe essere responsabile. "Qualcuno ha violato Lockbit. Indovine Dragonforce", ha scritto su Mastodon.Secondo la BBC, Dragonforce è stato presumibilmente coinvolto in diversi attacchi informatici sui rivenditori del Regno Unito, tra cui Marks & Spencer, Co-op e Harrods.Nel 2024, l'Operazione Cronos , uno sforzo multinazionale guidato dal Regno Unito che coinvolge le forze dell'ordine di dieci paesi, tra cui il Federal Bureau of Investigation (FBI), fermò temporaneamente le attività di Lockbit, sebbene il gruppo alla fine riesceva .Secondo quanto riferito, l'operazione ha abbattuto 34 server, ha confiscato i portafogli cripto e ha scoperto oltre 1.000 chiavi di decrittografia. Le forze dell'ordine credono che gli operatori di Lockbit abbiano sede in Russia, una giurisdizione che sarebbe difficile da consegnarli alla giustizia. Le bande di ransomware centrano le loro operazioni all'interno dei confini della Russia perché gli arresti diretti sono quasi impossibili.Chiave Difference Wire aiuta i marchi crittografici a sfondare e dominare i titoli velocemente