Собственное лекарство от LockBit: взломан главарь программ-вымогателей, раскрыты секреты

Крупная утечка данных затронула внутренние системы LockBit, включая 60 000 адресов Bitcoin. Утечка включает в себя пароли в открытом виде, данные о сборке программ-вымогателей и чаты, демонстрирующие тактику вымогательства LockBit. Этот инцидент стал следствием растущего мирового давления, включая репрессии стран «Большой семерки» и арест платформ по отмыванию денег. LockBit, давно внушающая страх глобальная группа вымогателей, сама пострадала от серьезного взлома. Инцидент, который повредил ее инфраструктуру даркнета и привел к утечке значительных внутренних данных, может навсегда повредить ее репутации и операционной эффективности, предлагая беспрецедентный взгляд на ее работу. Взлом LockBit: утечка базы данных, раскрытие операций Первым об утечке сообщил злоумышленник по имени «Рей», который опубликовал архив базы данных MySQL под названием «paneldb_dump.zip». Раскрытый архив содержит 20 таблиц базы данных, связанных с операциями дочерних компаний LockBit, — от адресов биткоин-кошельков и конфигураций программ-вымогателей до учетных данных пользователей и личных переговоров с жертвами. Оставленное на панелях администратора LockBit сообщение о порче данных высмеивало группу и напрямую ссылалось на утечку данных. Тон и метод атаки напоминают недавнюю ликвидацию группы вымогателей Everest. Это сходство порождает предположения, что за это может нести ответственность мститель или конкурирующий субъект угрозы. Утечка данных раскрывает масштаб и пробелы в безопасности Анализ слитой базы данных выявил многочисленные инсайты. Было перечислено около 60 000 адресов Bitcoin, предположительно связанных с выплатой выкупа или схемами отмывания денег. В таблицах конфигурации подробно описывалось, как филиалы LockBit настраивали сборки вредоносного ПО, включая настройки таргетинга и инструкции по обходу определенных систем. Возможно, наиболее показательными являются более 4400 журналов чатов. Эти журналы охватывают переговоры между LockBit и его жертвами с декабря 2024 года по апрель 2025 года. Связанный: Solana исправляет критическую ошибку нулевого дня, которая могла привести к неограниченной краже токенов Сообщения демонстрируют не только масштабы деятельности LockBit, но и ее агрессивную тактику: мошенники требовали от компаний выкупы в размере от нескольких тысяч до более 100 000 долларов. Нарушение также раскрыло учетные данные для входа 75 пользователей, включая филиалы и администраторов. Шокирующе, что все пароли хранились в открытом виде — фундаментальный провал безопасности, который серьезно подрывает заявления LockBit о технической сложности. По теме: Бен Чжоу из Bybit предоставил обновленную информацию о местонахождении взломанных ETH/BTC на сумму 1,4 млрд долларов Сообщается, что пароли включали непрофессиональные и даже юмористические записи, что свидетельствует об удивительно небрежном или высокомерном отношении к внутренней безопасности. Хотя представитель LockBit подтвердил факт взлома в личных чатах, он преуменьшил его последствия, заявив, что никаких утечек закрытых ключей дешифрования не произошло и что непрерывность работы не была нарушена. Взлом совпал с более масштабными мерами по борьбе с криптопреступностью Утечка информации также совпала с усилением деятельности правоохранительных органов по борьбе с преступностью, связанной с криптовалютами. Немецкие власти недавно изъяли €34 млн ($38 млн) в криптовалюте у eXch, платформы, предположительно использовавшейся для отмывания средств от масштабного взлома биржи Bybit в начале этого года. Сообщается, что платформа способствовала незаконным транзакциям на сумму $1,9 млрд без внедрения мер по борьбе с отмыванием денег. В более широком масштабе страны G7 готовятся рассмотреть роль криптовалюты в киберпреступности во время предстоящего саммита. Основное внимание будет уделено кибероперациям Северной Кореи, которая использовала украденные цифровые активы для поддержки программ по созданию оружия.