5 月 16,据外媒 Bleeping Computer 报道,臭名昭著的勒索软件黑客组织 LockBit 上周疑似遭到其他黑客组织攻击,目前 LockBit 的网站资源、平台密码及部分程序代码已被公开上传至网络。安全研究人员也在此次泄露中发现了 LockBit 的部分攻击计划策略细节。
一位名为 Rey 的黑客率先发现 LockBit 官网被替换为一段文字信息:“Don’t Do Crime. Crime is Bad. Xoxo from Prague”,网站上同时提供了一份包含 LockBit 内部机密 SQL 数据库文件的压缩包。攻击者将勒索页面替换为嘲讽标语“不要犯罪,犯罪是坏事,来自布拉格的xoxo”,并公开包含近6万比特币地址、4422条受害者谈判记录及75名成员明文密码的SQL数据库。数据显示,部分密码如“Weekendlover69”竟以明文存储,暴露团伙安防漏洞。专家分析,服务器PHP 8.1.2版本存在高危漏洞(CVE-2024-4577),或为入侵突破口。此前,LockBit在2024年“克洛诺斯行动”中被执法机构摧毁34台服务器并缴获千枚解密密钥,此次二次入侵进一步重创其声誉。
外媒挖掘相应数据库获悉,其中包含 LockBit 内部多名成员数字货币钱包地址、多款网络攻击工具、内部管理员密码,以及该黑客组织 2023 年 12 月至 2024 年 4 月间与多家受害企业进行的勒索谈判记录。
安全分析公司 Dark Reading 指出,相应外泄内容实际上揭露了 LockBit 组织的部分攻击模式。例如他们可能会优先选择配置不当或权限过高的域控制器(Domain Controller)作为攻击入口,同时还会锁定企业的备份系统、磁盘加密工具与数据恢复代理网络,从而阻止企业自行恢复数据。
尽管LockBitSupp声称“无核心数据丢失”,但谈判日志、目标企业名单及比特币资金链的曝光,或引发全球执法机构新一轮围剿。此次事件与Everest勒索软件攻击手法高度相似,暗示黑客组织或启动“黑吃黑”清除行动。随着Conti、Black Basta等团伙接连遭泄密,暗网犯罪生态正面临前所未有的信任危机。
据MySQL转储生成时间和谈判聊天表中的最后日期记录,数据库似乎是在 2025 年4月29 日的某个时间点被转储的。
目前还不清楚是谁实施了此次攻击以及如何实施的,但被破坏的信息与最近Everest勒索软件暗网网站被攻击时使用的信息相符,这表明两者之间可能存在联系。
此外,phpMyAdmin SQL 转储显示该服务器正在运行 PHP 8.1.2,该版本存在严重且被积极利用的漏洞 CVE-2024-4577,可用于在服务器上实现远程代码执行。
2024年,一项名为“克洛诺斯行动”的执法行动 摧毁了LockBit的基础设施,包括托管数据泄露网站及其镜像的34台服务器、从受害者那里窃取的数据、加密货币地址、1,000 个解密密钥以及附属面板。
现在判断这次声誉的进一步打击是否会成为勒索软件团伙的最后一根稻草还为时过早。
其他遭遇类似泄密事件的勒索软件组织包括Conti、Black Basta和Everest。
尽管 LockBit 在被黑后成功重建并恢复运营,但这次最新的入侵对其本已受损的声誉造成了进一步的打击。
