Группировку хакеров-вымогателей LockBit взломали, опубликованы переговоры с жертвами
Изображение: recraft
Одна из самых известных киберпреступных группировок, специализирующихся на вымогательских атаках, столкнулась с серьёзной утратой контроля над собственными системами. Хакеры, чьи имена не раскрываются, взломали инфраструктуру LockBit и опубликовали данные, содержащие внутренние переговоры с пострадавшими компаниями, технические детали атак и криптовалютные адреса.
Инцидент стал достоянием общественности после того, как панели администрирования на даркнет-ресурсах, принадлежавшие LockBit, были подменены сообщением с предупреждением «Не совершайте преступления, ПРЕСТУПЛЕНИЕ — ЭТО ПЛОХО, xoxo из Праги». Там же размещена ссылка на архив под названием «paneldb_dump.zip», содержащий файл SQL из базы MySQL партнёрского ресурса группировки.
Как указал злоумышленник, известный под псевдонимом Рей, утечка предоставляет редкий доступ к внутренней структуре LockBit. Аналитики из издания BleepingComputer, проанализировавшие содержимое базы, рассказали, что в ней обнаружено двадцать таблиц. Среди них выделяется таблица «btc_addresses», в которой зафиксированы почти 60 тыс. уникальных биткойн-адресов, что может свидетельствовать о масштабности операций.
Журналисты также обратили внимание на таблицу «builds», содержащую данные о вредоносных сборках, подготовленных участниками группы. В ряде записей фигурируют наименования атакованных компаний, а также криптографические открытые ключи. При этом закрытые ключи, которые могли бы дать возможность восстановить зашифрованные данные, в базе отсутствуют.
Отдельного внимания удостоилась таблица «builds_configurations», описывающая параметры запуска вредоносных программ. В частности, указаны инструкции по игнорированию серверов с виртуализацией ESXi и перечень файлов для шифрования. Особенно информативной оказалась таблица с записями чатов, насчитывающая 4442 сообщения, в которых фиксируются переговоры LockBit с пострадавшими за период с декабря по конец апреля.
Рей также поделился фрагментом общения в мессенджере Tox с представителем группы LockBit, выступающим под псевдонимом LockBitSupp. Представитель подтвердил факт компрометации, уточнив, что утечка не затронула закрытые ключи и не привела к потере самой базы.
В ходе анализа даты создания дампа MySQL и последней записи в таблице переговоров BleepingComputer пришли к выводу, что копирование базы произошло 29 апреля 2025 года. Кто именно стоял за атакой и какими методами был получен доступ к системе, остаётся неизвестным. При этом характер подмены панелей совпадает с инцидентом, произошедшим ранее с даркнет-ресурсом другой вымогательской группы — Everest. Этот факт может свидетельствовать о возможной связи между двумя эпизодами.
Журналисты обратили внимание и на технические детали серверного окружения. В частности, сервер, на котором находилась база данных LockBit, использовал PHP версии 8.1.2, подверженной уязвимости CVE-2024-4577. Она позволяет злоумышленнику выполнять произвольный код на удалённом сервере, что могло сыграть решающую роль во взломе.
