黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光

admin 2025年5月9日00:05:19评论6 views字数 2040阅读6分48秒阅读模式
网安媒体Bleepingcomputer于2025年5月7日披露,臭名昭著的LockBit勒索软件团伙遭遇重大打击——其暗网附属管理面板遭黑客入侵,数据库全量泄露。攻击者将勒索页面替换为嘲讽标语“不要犯罪,犯罪是坏事,来自布拉格的xoxo”,并公开包含近6万比特币地址、4422条受害者谈判记录及75名成员明文密码的SQL数据库。数据显示,部分密码如“Weekendlover69”竟以明文存储,暴露团伙安防漏洞。专家分析,服务器PHP 8.1.2版本存在高危漏洞(CVE-2024-4577),或为入侵突破口。此前,LockBit在2024年“克洛诺斯行动”中被执法机构摧毁34台服务器并缴获千枚解密密钥,此次二次入侵进一步重创其声誉。尽管LockBitSupp声称“无核心数据丢失”,但谈判日志、目标企业名单及比特币资金链的曝光,或引发全球执法机构新一轮围剿。此次事件与Everest勒索软件攻击手法高度相似,暗示黑客组织或启动“黑吃黑”清除行动。随着Conti、Black Basta等团伙接连遭泄密,暗网犯罪生态正面临前所未有的信任危机。
黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光

据Bleepingcomputer报道,LockBit 勒索软件团伙的暗网附属面板被破坏,并被替换为指向 MySQL 数据库转储的链接消息,导致其数据泄露。

该勒索软件团伙的所有管理面板现在都显示“不要犯罪,犯罪是坏事,来自布拉格的 xoxo”,并附上了下载“paneldb_dump.zip”的链接。

黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光
LockBit 暗网网站被篡改,并附有数据库链接
黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光

攻击者放出的SQL文件

但据网空闲话登录查证,显示受攻击的暗网地址是另外一个http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgXXXXXXXX.onion/。Lockbit3.0的暗网有多个地址,仍然能够正常访问。

黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光
黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光

正如威胁行为者Rey首先发现的那样,该档案包含从网站附属面板的 MySQL 数据库转储的SQL文件。

根据 BleepingComputer 的分析,该数据库包含20个表,其中一些比其他表更有趣,包括:

  • btc_addresses ' 表包含59,975个唯一的比特币地址。
  • “ builds ”表包含关联方为攻击创建的各个构建。表中的行包含公钥,但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。
  • “ builds_configurations ”表包含每个构建使用的不同配置,例如要跳过哪些 ESXi 服务器或要加密的文件。
  • 聊天”表非常有趣,因为它包含从 12月19日到 4 月 29 日勒索软件操作与受害者之间的 4,442 条谈判消息。
    黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光
    联盟面板“聊天”表

    用户”表列出了 75 位有权访问联盟面板的管理员和联盟会员,Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。

在与Rey 的Tox 对话,被称为“LockBitSupp”的 LockBit 运营商证实了此次泄密事件,并表示没有私钥泄露或数据丢失。

黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光

据悉LockBitSupp的状态已是不活跃一月有余。
黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光
根据MySQL转储生成时间和谈判聊天表中的最后日期记录,数据库似乎是在 2025 年4月29 日的某个时间点被转储的。

目前还不清楚是谁实施了此次攻击以及如何实施的,但被破坏的信息与最近Everest勒索软件暗网网站被攻击时使用的信息相符,这表明两者之间可能存在联系。

此外,phpMyAdmin SQL 转储显示该服务器正在运行 PHP 8.1.2,该版本存在严重且被积极利用的漏洞 CVE-2024-4577,可用于在服务器上实现远程代码执行。 

2024年,一项名为“克洛诺斯行动”的执法行动 摧毁了LockBit的基础设施,包括托管数据泄露网站及其镜像的34台服务器、从受害者那里窃取的数据、加密货币地址、1,000 个解密密钥以及附属面板。

尽管 LockBit 在被黑后成功重建并恢复运营,但这次最新的入侵对其本已受损的声誉造成了进一步的打击。

现在判断这次声誉的进一步打击是否会成为勒索软件团伙的最后一根稻草还为时过早。

其他遭遇类似泄密事件的勒索软件组织包括ContiBlack BastaEverest

参考资源
1、https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/
2、https://gbhackers.com/lockbit-ransomware-group-breached/
3、https://x.com/ReyXBF/status/19202457194342319004、

原文始发于微信公众号(网空闲话plus):黑吃黑再现:明星勒索组织LockBit遭“正义黑客”攻陷,数千条勒索谈判记录全曝光

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月9日00:05:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷,数千条勒索谈判记录全曝光http://cn-sec.com/archives/4044017.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息