臭名昭著的LockBit勒索软件团伙近日遭遇"黑吃黑"事件。该组织用于管理勒索业务的暗网"分赃后台"突遭黑客入侵,系统面板被替换为"犯罪可耻"的嘲讽标语,更令人震惊的是,其核心数据库被完整打包泄露。
据 BleepingComputer 的深入挖掘分析,发现这个被泄露的数据库真是一块 “大宝藏”,包含了20个关键数据表,信息量巨大。其中,“btc_addresses” 表里藏着 59975 个独一无二的比特币地址,这很可能关联着众多勒索交易的资金流向,为追踪其经济脉络提供了关键线索。
再看 “builds” 表,这里面记录着由附属成员精心打造用于攻击的各类版本,虽然没挖到私密性极高的私钥,但公钥以及部分被攻击公司的名称赫然在列,让我们得以一窥其过往狩猎的目标范围,为受害者查找自身是否被波及、提前预警等提供了依据。
“builds_configurations” 表则像是一份操作指南,详细罗列了每次攻击版本所采用的不同配置情况,例如是否跳过特定的 ESXi 服务器、对哪些文件类型加密等细节,这有助于安全专家剖析其作案手法,以便后续构建更完善的防御体系。
最让人瞩目的当属 “chats” 表,它记录了从 2024 年 12 月 19 日到 2025 年 4 月 29 日,LockBit 勒索软件运营方与受害者之间多达 4442 条的谈判信息。这些谈判记录就像是打开了一扇窥探他们 “生意经” 的窗,能让我们了解到双方在勒索金额讨价还价、解密数据条件协商等环节的种种细节,为研究网络犯罪心理和谈判策略提供了极具价值的一手资料。
另外,“users” 表也暴露了不少猛料,涉及 75 位有权访问附属控制面板的管理员与附属成员信息,让人咋舌的是,密码居然以明文形式存储,像 “Weekendlover69”“MovingBricks69420”“Lockbitproud231” 这样的密码简直弱到让人怀疑生命,这也侧面反映出该团伙在自身网络安全防护上存在的巨大漏洞。
在 Tox 对话平台上,LockBit 的运营者 “LockBitSupp” 无奈承认了这次数据泄露事件,但强调没有私钥外泄,数据也未出现丢失。不过,这次泄露事件背后的始作俑者以及入侵手段目前尚不明确,不过,该篡改信息与之前另一起名为 Everest 勒索软件黑暗面被入侵时留下的信息风格相似,似乎暗示着可能是同一股神秘力量在背后搞鬼。
从技术层面挖掘发现,泄露的 phpMyAdmin SQL 转储文件显示,LockBit 的服务器运行着存在严重漏洞的 PHP 8.1.2 版本,这个漏洞被标记为 CVE-2024-4577,是种能够被网络攻击者利用来远程执行代码的高危漏洞,或许这次入侵就得益于这一弱点。
回顾2024年,一场名为 “克洛诺斯行动” 的大规模执法行动重创了 LockBit,当时警方一举端掉了 34 台承载其数据泄露网站及其镜像的服务器,大量被窃取的数据、加密货币地址、1000 枚解密密钥以及附属控制面板都被悉数拿下,可 LockBit 借着其深厚的根基,硬是重启了业务,恢复了运作。可这次的数据泄露,就像在它摇摇欲坠的声誉大厦上又重重地砸了一拳,至于这是否就是压垮它的最后一根稻草,目前还难以定论,但可以肯定的是,LockBit 在网络犯罪江湖的地位已然岌岌可危。
事实上,在勒索软件圈,LockBit 并非第一个遭此重创的。之前 Conti、Black Basta、Everest 等知名团伙也都经历过类似数据泄露的困境。
原文始发于微信公众号(看雪学苑):LockBit 勒索软件团伙遭入侵:6万比特币地址+内部谈判记录全曝光!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4043752.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论