Η συμμορία Ransomware Lockbit έχει υποστεί παραβίαση δεδομένων μετά την παραβίαση των θυγατρικών του Dark Web, παραμορφώθηκαν και αντικαταστάθηκαν με ένα μήνυμα που συνδέεται με μια χωματερή βάσης δεδομένων MySQL.
Όλα τα πάνελ διαχειριστή της συμμορίας ransomware τώρα δηλώνουν. “Μην κάνεις έγκλημα Το έγκλημα είναι κακό Xoxo από την Πράγα, “με έναν σύνδεσμο για να κατεβάσετε ένα” paneldb_dump.zip. “
Ως πρώτος κηλίδωση Με τον ηθοποιό απειλής, Rey, αυτό το αρχείο περιέχει ένα αρχείο SQL που απορρίπτεται από τη βάση δεδομένων MySQL του πίνακα θυγατρικών του ιστότοπου.
Από την ανάλυση από τον BleepingComputer, αυτή η βάση δεδομένων περιέχει είκοσι πίνακες, με κάποιες πιο ενδιαφέρουσες από άλλες, όπως:
- Α ‘btc_addresses‘Πίνακας που περιέχει 59,975 μοναδικές διευθύνσεις bitcoin.
- Α ‘οικοδομεί«Ο πίνακας περιέχει τις μεμονωμένες κατασκευές που δημιουργούνται από θυγατρικές για επιθέσεις. Οι σειρές πίνακα περιέχουν τα δημόσια κλειδιά, αλλά δεν υπάρχουν ιδιωτικά κλειδιά, δυστυχώς. Τα ονόματα των στοχευμένων εταιρειών είναι επίσης καταχωρημένα για μερικές από τις κατασκευές.
- Α ‘builds_configurations«Ο πίνακας περιέχει τις διαφορετικές διαμορφώσεις που χρησιμοποιούνται για κάθε κατασκευή, όπως οι διακομιστές ESXI για να παραλείψουν ή αρχεία για κρυπτογράφηση.
- Α ‘συνομιλίες«Ο πίνακας είναι πολύ ενδιαφέρον, καθώς περιέχει 4.442 μηνύματα διαπραγμάτευσης μεταξύ της λειτουργίας ransomware και των θυμάτων από τις 19 Δεκεμβρίου έως τις 29 Απριλίου.
Πίνακας “συνομιλίες” θυγατρικών - Α ‘χρήστες‘Πίνακας λίστες 75 διαχειριστές και θυγατρικές που είχαν πρόσβαση στον πίνακα θυγατρικών, με Μιχαήλ Γκιλσί εντοπίζοντας ότι οι κωδικοί πρόσβασης αποθηκεύτηκαν σε απλό κείμενο. Παραδείγματα μερικών από τους κωδικούς πρόσβασης των κείμενο είναι το ‘WeekendLover69,’ MovingBricks69420 ‘και’ LockBitProud231 ‘.
Σε ένα Συνομιλία με τον Reyο χειριστής Lockbit, γνωστός ως «Lockbitsupp» επιβεβαίωσε την παραβίαση, δηλώνοντας ότι δεν διαρρέουν ιδιωτικά κλειδιά ή χάθηκαν δεδομένα.
Με βάση τον χρόνο παραγωγής MySQL Dump και την τελευταία ημερομηνία εγγραφής στον πίνακα συνομιλιών διαπραγμάτευσης, η βάση δεδομένων φαίνεται να έχει πεταχτεί κάποια στιγμή στις 29 Απριλίου 2025.
Δεν είναι σαφές ποιος πραγματοποίησε την παραβίαση και πώς έγινε, αλλά το μήνυμα Defacement ταιριάζει με αυτό που χρησιμοποιήθηκε σε μια πρόσφατη παραβίαση της σκοτεινής ιστοσελίδας του Everest Ransomware, υποδεικνύοντας έναν πιθανό σύνδεσμο.
Επιπλέον, η χωματερή Phpmyadmin SQL δείχνει ότι ο διακομιστής εκτελούσε PHP 8.1.2, η οποία είναι ευάλωτη σε κρίσιμη και ενεργά εκμεταλλεύεται την ευπάθεια που παρακολουθείται ως CVE-2024-4577 που μπορεί να χρησιμοποιηθεί για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα σε διακομιστές.
Το 2024, μια επιχείρηση επιβολής του νόμου που ονομάζεται Λειτουργία Cronos έβγαλε την υποδομή του Lockbit, συμπεριλαμβανομένων 34 διακομιστών που φιλοξενούν τον ιστότοπο διαρροής δεδομένων και τους καθρέφτες της, τα δεδομένα που κλέβονται από τα θύματα, τις διευθύνσεις κρυπτογράφησης, τα πλήκτρα αποκρυπτογράφησης και το πάνελ θυγατρικών.
Παρόλο που η Lockbit κατάφερε να ανοικοδομήσει και να συνεχίσει τις επιχειρήσεις μετά την κατάπαυση, αυτή η τελευταία παραβίαση χτυπά ένα περαιτέρω πλήγμα για την ήδη κατεστραμμένη φήμη του.
Είναι πολύ νωρίς για να πούμε εάν αυτό το πρόσθετο χτύπημα φήμης θα είναι το τελευταίο καρφί στο φέρετρο για τη συμμορία ransomware.
Άλλες ομάδες ransomware που έχουν βιώσει παρόμοιες διαρροές περιλαμβάνουν το Conti, το Black Basta και το Everest.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
