أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
تعرضت عصابة برامج الفدية LockBit للاختراق، وتم تسريب 60 ألف عنوان Bitcoin
- تعرضت عصابة برامج الفدية LockBit لاختراق كبير، مما أدى إلى تسريب 60 ألف عنوان محفظة Bitcoin وبيانات داخلية.
- قام المتسللون بتشويه لوحات LockBit الخاصة بالإنترنت المظلم، وكشفوا محادثات الضحايا، وبنيات الشركاء، وكلمات المرور النصية.
- قد يكون الاختراق مرتبطًا بشركة DragonForce؛ ويشير محللو الأمن إلى ثغرة PHP CVE-2024-4577 باعتبارها طريقة الهجوم.
تعرضت مجموعة برامج الفدية "لوكبيت" لهجوم إلكتروني كشف عن عملياتها الداخلية. وقد تم تسريب ما يقرب من 60 ألف عنوان محفظة Bitcoin مرتبطة بأنشطة المجموعة، بالإضافة إلى آلاف الرسائل المتبادلة بين الضحايا وسجلات مفصلة من بنيتها التحتية.
وقع الاختراق، الذي لاحظه الباحث في جرائم الإنترنت ري في وقت متأخر من يوم الأربعاء، في نهاية أبريل 2025. تم تشويه لوحات شركاء LockBit على الإنترنت المظلم، واستُبدلت برسالة تقول: "لا ترتكب جريمة. الجريمة سيئة، مع تحياتي من براغ"، مع رابط لنسخة احتياطية من قاعدة بيانات MySQL بعنوان "paneldb_dump.zip"
https://twitter.com/ReyXBF/status/1920220381681418713
"يشير التحليل الأساسي لقاعدة البيانات إلى أن عملية التسريب قد تم إنشاؤها في حوالي 29 أبريل، مما يشير إلى أن برنامج LockBit قد تم اختراقه في ذلك التاريخ أو قبله، وتم تشويهه لاحقًا في 7 مايو"، أكد ري.
انكشاف البيانات في تفريغ بيانات اللوحة
ووفقًا لري، نقلاً عن تحليل من منشور الأمن السيبراني BleepingComputer، كان هناك حوالي 20 جدولًا في قاعدة البيانات المسربة، بما في ذلك جدول 'btc_addresses' الذي أدرج 59975 عنوان محفظة Bitcoin فريدة مرتبطة بمدفوعات برنامج الفدية LockBit.
تتضمن البيانات الأخرى البارزة في التسريب جدولًا بعنوان "البرامج الخبيثة"، والذي يُفصّل حمولات برامج الفدية التي أنشأها شركاء LockBit. ويحتوي الجدول على مفاتيح التشفير العامة، وفي بعض الحالات، أسماء الشركات المستهدفة.
أظهر جدول "builds_configurations" الملفات أو الخوادم التي قام الشركاء بتكوين هجماتهم لتجنبها أو تشفيرها، بالإضافة إلى العديد من التكتيكات التشغيلية الأخرى المستخدمة في حملات برامج الفدية السابقة.
كما هو موضح في أحد الجداول التي تحمل اسم "المحادثات"، كان هناك أكثر من 4400 رسالة تفاوض بين المنتسبين إلى LockBit والضحايا، والتي امتدت من 19 ديسمبر 2024 إلى 29 أبريل 2025.
— رانسوم-دي بي (@Ransom_DB) 8 مايو 2025
كشفت عملية التسريب أيضًا عن جدول "المستخدمين" الذي يضم 75 مسؤولًا وشريكًا في LockBit ممن لديهم صلاحية الوصول إلى لوحة التحكم الخلفية للمجموعة. وقد صُدم خبراء الأمن عندما اكتشفوا أن كلمات مرور المستخدمين كانت مخزنة كنص عادي.
أشار الباحث في مجال الأمن السيبراني مايكل جيليسبي إلى بعض كلمات المرور المكشوفة، بما في ذلك "Weekendlover69" و"MovingBricks69420" و"Lockbitproud231"
أكد لوكبيت ساب، وهو أحد أعضاء مجموعة لوكبيت المعروفة، في محادثة عبر منصة توكس مع ري، صحة الاختراق. ومع ذلك، أصر على عدم فقدان أي مفاتيح خاصة أو بيانات حساسة.
https://twitter.com/ReyXBF/status/1920245719434231900
قال ألون غال، كبير مسؤولي التكنولوجيا في شركة هدسون روك، إن البيانات تتضمن أيضاً نسخاً مخصصة من برامج الفدية وبعض مفاتيح فك التشفير. ووفقاً لغال، إذا تم التحقق من صحة هذه المفاتيح، فقد تساعد بعض الضحايا على استعادة بياناتهم دون دفع فدية.
استغلال ثغرات الخادم
كشف تحليل تفريغ SQL أن الخادم المتأثر كان يعمل بنظام PHP 8.1.2، وهو إصدار معرض لثغرة أمنية تمdentباسم "CVE-2024-4577". تسمح هذه الثغرة بتنفيذ التعليمات البرمجية عن بعد، مما يفسر كيف تمكن المهاجمون من التسلل إلى أنظمة LockBit الخلفية والخروج منها.
يعتقد خبراء الأمن أن أسلوب رسالة التشويه قد يربطdent باختراق حديث لموقع برنامج الفدية "إيفرست"، الذي استخدم نفس عبارة "الجريمة سيئة". يشير هذا التشابه إلى أن نفس الجهة أو المجموعة قد تكون وراءdent، على الرغم من عدم تأكيد أي جهة بشكل قاطع.
لم يتقدم المتسللون الذين يقفون وراء الاختراق، لكن كيفن بومونت، وهو فريق أمني مقره المملكة المتحدة، قال إن مجموعة دراغون فورس قد تكون مسؤولة.
كتب على موقع Mastodon: "لقد قام شخص ما باختراق LockBit. أعتقد أن DragonForce هو من قام بذلك".
وبحسب هيئة الإذاعة البريطانية (بي بي سي)، يُزعم أن شركة دراغون فورس كانت متورطة في العديد من الهجمات الإلكترونية على تجار التجزئة في المملكة المتحدة، بما في ذلك ماركس آند سبنسر، وكو-أوب، وهارودز.
في عام 2024، عملية كرونوس، وهي جهد متعدد الجنسيات بقيادة المملكة المتحدة يضم وكالات إنفاذ القانون من عشر دول، بما في ذلك مكتب التحقيقات الفيدرالي (FBI)، أنشطة لوكبيت مؤقتًا، على الرغم من أن المجموعة عادت للظهور.
وبحسب ما ورد، أسفرت العملية عن تعطيل 34 خادمًا، ومصادرة محافظ العملات المشفرة، والكشف عن أكثر من 1000 مفتاح فك تشفير.
تعتقد جهات إنفاذ القانون أن مشغلي برنامج LockBit الخبيث يتمركزون في روسيا، وهي منطقة يصعب فيها تقديمهم للعدالة. وتركز عصابات برامج الفدية عملياتها داخل حدود روسيا لأن الاعتقالات المباشرة شبه مستحيلة.
لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
فلورنس موتشاي
تُغطي فلورنس أخبار العملات الرقمية، والألعاب، والتكنولوجيا، والذكاء الاصطناعي منذ ست سنوات. وقد زودتها دراستها لعلوم الحاسوب في جامعة ميرو للعلوم والتكنولوجيا، بالإضافة إلى دراستها لإدارة الكوارث والدبلوماسية الدولية في الجامعة نفسها، بمهارات لغوية وملاحظة وتقنية عالية. عملت فلورنس في مجموعة VAP، كما عملت كمحررة في العديد من المؤسسات الإعلامية المتخصصة في العملات الرقمية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)