黑吃黑再现:明星勒索组织LockBit遭正义黑客攻陷，数千条勒索谈判记录全曝光

据Bleepingcomputer报道，LockBit 勒索软件团伙的暗网附属面板被破坏，并被替换为指向 MySQL 数据库转储的链接消息，导致其数据泄露。

该勒索软件团伙的所有管理面板现在都显示“不要犯罪，犯罪是坏事，来自布拉格的 xoxo”，并附上了下载“paneldb_dump.zip”的链接。

攻击者放出的SQL文件

但据网空闲话登录查证，显示受攻击的暗网地址是另外一个http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgXXXXXXXX.onion/。Lockbit3.0的暗网有多个地址，仍然能够正常访问。

正如威胁行为者Rey首先发现的那样，该档案包含从网站附属面板的 MySQL 数据库转储的SQL文件。

根据 BleepingComputer 的分析，该数据库包含20个表，其中一些比其他表更有趣，包括：

• ' btc_addresses ' 表包含59,975个唯一的比特币地址。
• “ builds ”表包含关联方为攻击创建的各个构建。表中的行包含公钥，但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。
• “ builds_configurations ”表包含每个构建使用的不同配置，例如要跳过哪些 ESXi 服务器或要加密的文件。
• “聊天”表非常有趣，因为它包含从 12月19日到 4 月 29 日勒索软件操作与受害者之间的 4,442 条谈判消息。
  

  “用户”表列出了 75 位有权访问联盟面板的管理员和联盟会员，Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。

在与Rey 的Tox 对话中，被称为“LockBitSupp”的 LockBit 运营商证实了此次泄密事件，并表示没有私钥泄露或数据丢失。

目前还不清楚是谁实施了此次攻击以及如何实施的，但被破坏的信息与最近Everest勒索软件暗网网站被攻击时使用的信息相符，这表明两者之间可能存在联系。

此外，phpMyAdmin SQL 转储显示该服务器正在运行 PHP 8.1.2，该版本存在严重且被积极利用的漏洞 CVE-2024-4577，可用于在服务器上实现远程代码执行。 

2024年，一项名为“克洛诺斯行动”的执法行动 摧毁了LockBit的基础设施，包括托管数据泄露网站及其镜像的34台服务器、从受害者那里窃取的数据、加密货币地址、1,000 个解密密钥以及附属面板。

尽管 LockBit 在被黑后成功重建并恢复运营，但这次最新的入侵对其本已受损的声誉造成了进一步的打击。

现在判断这次声誉的进一步打击是否会成为勒索软件团伙的最后一根稻草还为时过早。

其他遭遇类似泄密事件的勒索软件组织包括Conti、Black Basta和Everest。

原文始发于微信公众号（网空闲话plus）：黑吃黑再现:明星勒索组织LockBit遭“正义黑客”攻陷，数千条勒索谈判记录全曝光