LockBit 勒索软件团伙的暗网附属面板被破坏,并被替换为指向 MySQL 数据库转储的链接消息,导致其数据泄露。
对数据库的分析表明,该转储是在 4 月 29 日左右创建的,这表明 LockBit 在该日期或之前遭到入侵,并于 5 月 7 日遭到破坏。现已无法访问。
该勒索软件团伙的所有管理面板现在都显示“不要犯罪, 犯罪是坏事, 来自布拉格的 xoxo”,并附上了下载“paneldb_dump.zip”的链接。篡改后,LockBit 勒索软件组织网站上出现的消息与 Everest 勒索软件组织网站上出现的消息相同。之前也发过消息。见:
俄罗斯勒索软件团伙Everest的暗网网站遭到黑客攻击后下线
数据已转储,需要分析的可以自行下载。https://github.com/mayfly42/ThreatReport/blob/main/paneldb_dump.sql
LockBit4.0 暗网附属网站被篡改,并带有数据库链接
正如威胁行为者 Rey 首先发现的那样 ,该档案包含从网站附属面板的 MySQL 数据库转储的 SQL 文件。
根据分析,该数据库包含 20 个表,其中一些比其他表更有趣,包括:
-
btc_addresses 表包含 59,975 个唯一的比特币地址。
-
builds ”表包含关联方为攻击创建的各个构建。表中的行包含公钥,但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。
-
builds_configurations 表包含每个构建使用的不同配置,例如要跳过哪些 ESXi 服务器或要加密的文件。
-
chat 表非常有趣,因为它包含从 12 月 19 日到 4 月 29 日勒索软件操作与受害者之间的 4,442 条谈判消息。
-
用户 表列出了 75 位有权访问联盟面板的管理员和联盟会员, Michael Gillespie 发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。
在与 Rey 的 Tox 对话中,被称为“LockBitSupp”的 LockBit 运营商证实了此次泄密事件,并表示没有私钥泄露或数据丢失。lockbit 也在官网发布悬赏信息了。
此外,phpMyAdmin SQL 转储显示该服务器正在运行 PHP 8.1.2,该版本存在严重且被积极利用的漏洞 CVE-2024-4577 ,可用于在服务器上实现远程代码执行。
2024 年,一项名为“克洛诺斯行动”的执法行动摧毁了 LockBit 的基础设施 ,包括托管数据泄露网站及其镜像的 34 台服务器、从受害者那里窃取的数据、加密货币地址、1,000 个解密密钥以及附属面板。
尽管 LockBit 在被黑后成功重建并恢复运营,但这次最新的入侵对其本已受损的声誉造成了进一步的打击。
现在判断这次声誉的进一步打击是否会成为勒索软件团伙的最后一根稻草还为时过早。
其他遭遇类似泄密事件的勒索软件组织包括 Conti 、 Black Basta 和 Everest 。
关键表格
1. LockBit 相关重要事件时间表
| 日期 | 事件描述 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. 谈判记录泄露的潜在影响
| 利益相关者 | 潜在影响 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. 推荐的防御和应对建议
| 建议类别 | 具体措施 |
|---|---|
|
|
|
|
|
|
|
|
|
原文始发于微信公众号(独眼情报):LockBit 勒索软件团伙遭黑客攻击,受害者谈判记录曝光
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论