臭名昭著的LockBit勒索软件组织遭遇重大安全事件。5月7日,攻击者篡改了该组织的暗网基础设施,并泄露了包含敏感运营细节的完整数据库。此次入侵给这个全球最活跃的勒索软件团伙造成了沉重打击。
暗网主页遭篡改
访问LockBit暗网站点的用户现在会看到一条挑衅性信息:"别犯罪 犯罪是坏事 xoxo来自布拉格",同时附有可下载名为"paneldb_dump.zip"文件的链接,该文件包含MySQL数据库转储。
敏感数据全面泄露
安全研究人员已确认泄露数据的真实性,其中包含大量关于该勒索软件运营的关键信息。数据库包括:
- 约6万个用于收取赎金的唯一比特币钱包地址
- 4442条LockBit运营者与受害者之间的谈判消息(时间跨度为去年12月至今年4月下旬)
- 为特定攻击定制的勒索软件构建细节
最令人尴尬的是,泄露数据中还包含一个用户表,其中75名管理员和关联人员的密码以明文形式存储。Hudson Rock联合创始人兼首席技术官Alon Gal称此次泄露是"执法部门的金矿",将极大助力追踪加密货币支付并将攻击归因于特定威胁行为者。
LockBit试图淡化事件影响
LockBit试图淡化此次事件的影响。该组织在其泄露网站上用西里尔文字发布消息称:"5月7日,他们入侵了面向所有人自动注册的轻量级面板,获取了数据库,但没有任何解密器和被盗公司数据受到影响"。该组织还悬赏征集有关此次入侵的布拉格黑客信息。
此次入侵距离2024年2月执法部门开展的"克罗诺斯行动"(Operation Cronos)仅数月之遥,该行动曾暂时中断了LockBit的基础设施。虽然该组织在行动后重建并恢复了运营,但其声誉已遭受重大损害。研究人员指出,该组织近期公布的许多受害者信息都是重复使用早期攻击或其他勒索软件组织的数据。
此次入侵与近期针对Everest勒索软件组织的攻击类似,两者使用了相同的篡改信息。网络安全研究人员推测,这两起攻击可能都与PHP 8.1.2中的关键漏洞(CVE-2024-4577)有关,该漏洞允许远程代码执行。
对于LockBit这个在2023年初约占全球所有勒索软件事件44%的组织而言,此次入侵可能造成毁灭性打击,不仅会削弱合作伙伴的信任,还将进一步阻碍其运营。
