Meghekkelt hekkerek: kiszivárgott egy zsarolóvírus-csoport titkos adatbázisa
Fájdalmas csapás érte az egyik legismertebb zsarolóvírus-csoportot: a LockBit darkwebes infrastruktúráját feltörték, és a nyilvánosságra hozott adatbázisból 60 000 bitcoin-cím és több ezer áldozattal folytatott tárgyalás szivárgott ki.
Az adatbázis közel 60 000 Bitcoin-címet és több mint 4 400 beszélgetést tartalmaz. Bár a LockBit képviselői azt állítják, hogy privát kulcsok nem szivárogtak ki, a nyilvánosságra került adatok lehetőséget adnak a tranzakciók visszakövetésére és a csoport pénzügyi hálózatának feltérképezésére.
A támadók egy szívhez szóló üzenetet is hagytak a LockBit számára, melyben az állt: “Ne bűnözz, a bűnözés rossz – puszi Prágából”. A letölthető adatbázis linkjét pedig közvetlenül a szöveg alatt helyezték el.
A LockBit oldalán hagyott üzenet.
A BleepingComputer hírportál az adatbázis elemzése során 20 táblázatot talált, fontos részletekkel. Az egyik táblában közel 60 000 Bitcoin-cím van felsorolva, amelyek valószínűleg a banda társszervei és az infrastruktúra által használt címek keveréke, míg egy másik táblázat konkrét célpontokhoz kapcsolódó zsarolóprogram-építéseket mutat.
A hackercsoport kizárólag bitcoint fogadott el a megzsarolt áldozatoktól
Az adatbázisban a támadások konfigurációs részletei is megtalálhatók, például, hogy mely szervereket kell kihagyni, illetve mely fájlokat kell titkosítani. Egy csevegési napló több mint 4400 üzenetet tartalmaz a váltságdíjat követelő támadók és az áldozatok között, egy felhasználói táblázat pedig 75 adminisztrátort és társvállalatot nevez meg – a jelszavakat egyszerű szövegben tárolva, köztük olyan példákat, mint „Weekendlover69” és „Lockbitproud231”.
A kiszivárgott üzenetek.
Az adatbázis táblái:
btc_addresses: 59 975 Bitcoin-cím, amelyeket a LockBit a zsarolóvírusokkal szerzett kifizetésekhez használt.
builds: Információk az affiliate-ek (megbízott hackerek) által készített zsarolóvírus-verziókról és a célba vett vállalatokról.
chats: Több mint 4 400 üzenet áldozatokkal folytatott tárgyalásokról december 19. és április 29. között, beleértve a váltságdíj összegeit és a fenyegetéseket.
users: 75 adminisztrátor és affiliate felhasználói adatai, köztük jelszavak, amelyek közül néhány egyszerű szövegként volt tárolva.
Bár nem világos, hogy ki és hogyan hajtotta végre a támadást, a weboldalon hagyott üzenet megegyezik egy korábbi szöveggel, amit az Everest zsarolóvírus-csoport elleni támadás oldalán olvashattunk. Emiatt sokan feltételezik, hogy mindkét támadásért ugyanaz a hacker vagy csoport lehet a felelős.
Egyébként a LockBit már korábban is célpontja volt a hatóságoknak. 2024 februárjában egy nemzetközi művelet során lefoglalták infrastruktúrájukat, és a banda több tagját is letartóztatták. Azonban ennek ellenére továbbra is aktívak maradtak, és új támadásokat hajtottak végre. A mostani szivárgás után viszont kérdéses, hogy a csoport képes lesz-e visszanyerni korábbi pozícióját a zsarolóvírus-piacon.