Масштабний витік даних LockBit та глузування з їх паролей

Відома як одна з “найнебезпечніших” кіберзлочинних груп у світі, LockBit зазнала серйозного краху, коли їх даркнет-інфраструктура була зламана. Невідомі хакери захопили адмін-панелі банди, замінивши інтерфейс на зухвале повідомлення “Don’t do crime CRIME IS BAD xoxo from Prague” та додавши посилання на архів з даними з бази даних MySQL. Архів під назвою “paneldb\_dump.zip” містив важливу інформацію про діяльність LockBit, включно зі списками біткойн-адрес, технічними параметрами шифрувальників, переговорами з жертвами та обліковими даними користувачів панелі.

LockBit, що спеціалізується на великомасштабних атаках з вимогою викупу, виявилась у епіцентрі скандалу після злому їхньої даркнет-інфраструктури невідомими зловмисниками. Хакери не просто проникли в адмін-панелі, а й замінили інтерфейс на іронічне “Don’t do crime CRIME IS BAD xoxo from Prague”, підкреслюючи абсурдність діяльності банди.

Архів, викладений атакуючими, містить базу даних MySQL, яка складається з 20 таблиць, кожна з яких розкриває внутрішню структуру та діяльність LockBit:

* btc\_addresses: Містить 59 975 унікальних біткойн-адрес, пов’язаних з операціями вимагання. Цей список дає змогу ідентифікувати канали фінансових потоків банди.

* builds: Інформація про шифрувальники, які створювалися аффіліатами. У таблиці зазначені публічні ключі, а також назви атакованих компаній.

* builds\_configurations: Технічні параметри шифрувальників, включаючи інструкції з обходу серверів ESXi та файлів для шифрування.

* chats: Містить 4 442 повідомлення, які велись між LockBit та жертвами з 19 грудня 2024 року до 29 квітня 2025 року. Цей масив даних дозволяє проаналізувати переговорну тактику банди, суми викупів та методи тиску.

* users: Таблиця користувачів з 75 записами, включаючи адміністраторів та аффіліатів. Паролі зберігалися у відкритому вигляді, що стало об’єктом насмішок. Серед паролів — «Weekendlover69», «MovingBricks69420», «Lockbitproud231», що вказує на низький рівень безпеки навіть у кіберзлочинній організації.

Спосіб атаки

Хоча точний механізм атаки залишається невизначеним, експерти припускають, що хакери скористалися уразливістю на сервері, який працював на застарілій версії PHP 8.1.2. Ця версія вразлива до критичної вразливості CVE-2024-4577, яка дає змогу виконувати довільний код на сервері. Дефейс-повідомлення на адмін-панелях LockBit аналогічні попередній атаці на даркнет-ресурси групи Everest, що може свідчити про подібний метод атаки або навіть про тих самих виконавців.

• LockBit – міжнародна хакерська група, спеціалізована на атаках з використанням програм-вимагачів. Вони відомі своєю здатністю швидко шифрувати корпоративні системи та вимагати викуп за їхнє розшифрування. У 2024 році LockBit вже потерпіла від масштабної спецоперації Operation Cronos, в ході якої було конфісковано 34 сервери, що використовувались для зберігання викрадених даних та криптоактивів.

Попередній удар по інфраструктурі значно підірвав репутацію банди, проте вони змогли відновитися. Цей новий злам може спричинити втрату довіри серед афіліатів, які раніше забезпечували значний прибуток банді. Витік переговорів з жертвами також може бути цінним джерелом інформації для правоохоронних органів.

Злам LockBit не тільки підриває репутацію банди, але й доводить, що навіть “найнебезпечніші“ злочинні групи можуть стати жертвами власної недбалості. Використання застарілого та вразливого ПЗ, а також зберігання паролів у відкритому вигляді викликає сумніви щодо професіоналізму хакерів. Якщо витік даних призведе до виявлення афілійованих осіб, це може мати серйозні наслідки для всієї екосистеми LockBit.