Lockbit-Ransomware-Bande gehackt: 60.000 Bitcoin-Adressen im Darknet geleakt
Die Jäger werden zu Gejagten: Die berüchtigte Lockbit-Ransomware-Bande wurde selbst Opfer eines Hacks. Sensible Daten – inklusive 60.000 Bitcoin-Adressen – kursieren nun im Darknet.
Operation gebrochener Code: Die geleakten Wallet-Adressen könnten den Behörden endlich die Tracing-Möglichkeiten bieten, um Geldströme zu verfolgen. Oder sie werden einfach bei der nächsten Crypto-Party als ‚Spendenschweine‘ missbraucht.
Ironie der Blockchain: Ausgerechnet die Technologie, die Kriminelle für Anonymität nutzen, wird jetzt ihr größtes Risiko – Transparenz schlägt zurück.
Datenbelastung im Panel -Dump
Laut Rey zitierte eine Analyse aus der Cybersecurity -Publikation PleepingComputer rund 20 Tabellen in der durchgesickerten Datenbank, darunter eine Tabelle von ’BTC_ADDRESSES, in denen 59.975 eindeutige Bitcoin -Brieftet -Adressen von Lockbits Ransomware -Zahlungen aufgelistet wurden.
Andere bemerkenswerte Daten im Leck enthalten eine "Builds" -Tabelle, in der die von Lockbit -verbundenen Unternehmen erstellten Ransomware -Nutzlasten beschrieben werden. Die Tabelle enthält öffentliche Verschlüsselungsschlüssel und in einigen Fällen Namen von gezielten Unternehmen.
Die Tabelle ’Builds_Configurations’ zeigte, welche Dateien oder Server ihre Angriffe konfigurierten, um sie zu vermeiden oder zu verschlüsseln, und mehrere andere operative Taktiken, die in früheren Ransomware -Kampagnen verwendet werden.
Wie in einem Tisch zu sehen ist, das als "Chats" bezeichnet wurde, gab es zwischen dem 19. Dezember 2024 bis zum 29. April 2025 über 4.400 Verhandlungsnachrichten zwischen Lockbit -Partnern und Opfern.
pic.twitter.com/gjbtzqg9vm
-Ransom-DB (@ransom_db) 8. Mai 2025Der Dump enthält auch eine "Benutzer" -Tabelle, die 75 Lockbit -Administratoren und verbundene Unternehmen mit Zugriff auf das Backend -Panel der Gruppe auflistet. Sicherheitsverdünnungen waren schockiert zu erkennen, dass Benutzerkennwörter im Klartext gespeichert wurden.
Der Cybersecurity -Forscher Michael Gillespie erwähnte einige der exponierten Passwörter, darunter „Weekendlover69“, „MovingBricks69420“ und „LockbitProud231“.
Lockbitsupp, ein bekannter Betreiber der Lockbit -Gruppe, bestätigte in einem Tox -Chat mit Rey, dass der Verstoß real sei. Dennoch bestand der Bediener darauf, dass keine privaten Schlüssel oder kritischen Daten verloren gingen.
Antwort von lockbitsupp (dies ist ein übersetzendes Bild): pic.twitter.com/l54g1a5hxz
- Rey (@reyxbf) 7. Mai 2025Alon Gal, Chief Technology Officer bei Hudson Rock, sagte, die Daten umfassen auch benutzerdefinierte Ransomware -Builds und einige Entschlüsselungsschlüssel. Laut Gal könnten die Schlüsseln, falls verifiziert, einigen Opfern helfen, ihre Daten wiederherzustellen, ohne Lösegeld zu zahlen.
Nutzung von Server -Schwachstellen
Eine Analyse des SQL-Dumps ergab, dass der betroffene Server PHP 8.1.2 ausführte, eine Version, die für einen Fehler anfällig ist, den ich als „CVE-2024-4577“dent. Die Sicherheitsanfälligkeit ermöglicht die Ausführung des Remote -Codes, was erklärt, wie Angreifer in der Lage waren, die Backend -Systeme von Lockbit infiltrieren und das Exfiltrat -Lockbit infiltrieren konnten.
Sicherheitsexperten glauben, dass der Stil der Verpflichtungsmeldung die Incident mit einer jüngsten Verletzung der Everest Ransomware -Website verknüpfen könnte, die das gleiche "Verbrechen ist schlecht" -Phrasierung verwendet. Die Ähnlichkeit legt nahe, dass derselbe Akteur oder die gleiche Gruppe hinter beiden Incidentliegt, obwohl keine klare Zuschreibung bestätigt wurde.
Die Hacker hinter dem Verstoß haben sich nicht gemeldet, aber Kevin Beaumont, ein in Großbritannien ansässiges Sicherheits-Outfit, sagte, die Gruppe Dragonforce könnte verantwortlich sein.
"Jemand hat Lockbit gehackt. Ich werde Dragonforce erraten", schrieb er über Mastodon.
Laut der BBC war Dragonforce angeblich an mehreren Cyberangriffen für britische Einzelhändler beteiligt, darunter Marks & Spencer, Co-Op und Harrods.
Im Jahr 2024 Operation Cronos , ein in Großbritannien geführter multinationaler Anstrengungen mit Strafverfolgungsbehörden aus zehn Ländern, einschließlich des Federal Bureau of Investigation (FBI), die Aktivitäten von Lockbit vorübergehend, obwohl die Gruppe schließlich wieder aufgetaucht war .
Die Operation hat Berichten zufolge 34 Server, beschlagnahmte Krypto -Brieftaschen und mehr als 1.000 Entschlüsselungsschlüssel entdeckt.
Die Strafverfolgungsbehörden sind der Ansicht, dass die Betreiber von Lockbit in Russland ansässig sind, eine Gerichtsbarkeit, die es schwierig wäre, sie vor Gericht zu stellen. Ransomware -Gangs zentrieren ihre Operationen innerhalb der Russlands Grenzen, da direkte Verhaftungen nahezu unmöglich sind.
Cryptopolitan Academy: Müde von Marktschwankungen? Erfahren Sie, wie DeFi Ihnen helfen kann, ein stetiges passives Einkommen aufzubauen. Registrieren Sie sich jetzt
