LockBit-Ransomware-Bande gehackt, 60.000 Bitcoin -Adressen veröffentlicht

- Die LockBit-Ransomware-Bande erlitt einen schweren Sicherheitsvorfall, bei dem 60.000 Bitcoin -Wallet-Adressen und interne Daten offengelegt wurden.
- Hacker verunstalten die Darknet-Panels von LockBit und legen so Chats der Opfer, Affiliate-Builds und Klartextpasswörter offen.
- Der Sicherheitsverstoß könnte mit DragonForce in Verbindung stehen; Sicherheitsanalysten nennen die PHP-Schwachstelle CVE-2024-4577 als Angriffsvektor.
Die Ransomware-Gruppe LockBit wurde Opfer eines Cyberangriffs, der ihre internen Abläufe offenlegte. Knapp 60.000 Bitcoin -Wallet-Adressen, die mit den Aktivitäten der Gruppe in Verbindung stehen, wurden veröffentlicht, ebenso wie Tausende von Kommunikationsdaten der Opfer und detaillierte Aufzeichnungen ihrer Backend-Infrastruktur.
Der Sicherheitsverstoß, der dem Cyberkriminalitätsforscher Rey am späten Mittwochabend auffiel, ereignete sich Ende April 2025. Die Darknet-Affiliate-Panels von LockBit wurden verunstaltet und durch eine Nachricht ersetzt, die lautete: „Begehe keine Verbrechen. VERBRECHEN IST SCHLECHT xoxo aus Prag“, mit einem Link zu einem MySQL-Datenbank-Dump mit dem Titel „paneldb_dump.zip“
https://twitter.com/ReyXBF/status/1920220381681418713
„Eine grundlegende Analyse der Datenbank deutet darauf hin, dass der Dump um den 29. April erstellt wurde, was darauf schließen lässt, dass LockBit an oder vor diesem Datum kompromittiert und anschließend am 7. Mai verunstaltet wurde“, bestätigte Rey.
Datenexposition im Panel-Dump
Laut Rey, der sich auf eine Analyse der Cybersicherheitspublikation BleepingComputer beruft, enthielt die durchgesickerte Datenbank etwa 20 Tabellen, darunter eine Tabelle namens „btc_addresses“, in der 59.975 eindeutige Bitcoin -Wallet-Adressen aufgeführt waren, die mit den Ransomware-Zahlungen von LockBit in Verbindung standen.
Zu den weiteren bemerkenswerten Daten des Leaks gehört eine Tabelle mit den von LockBit-Partnern erstellten Ransomware-Payloads. Die Tabelle enthält öffentliche Verschlüsselungsschlüssel und in einigen Fällen die Namen der betroffenen Unternehmen.
Die Tabelle „builds_configurations“ zeigte, welche Dateien oder Server die Partner bei ihren Angriffen umgingen oder verschlüsselten, sowie verschiedene andere operative Taktiken, die in früheren Ransomware-Kampagnen eingesetzt wurden.
Wie aus einer Tabelle mit der Bezeichnung „Chats“ hervorgeht, gab es über 4.400 Verhandlungsnachrichten zwischen LockBit-Partnern und Opfern, die sich über den Zeitraum vom 19. Dezember 2024 bis zum 29. April 2025 erstreckten.
— Ransom-DB (@Ransom_DB) 8. Mai 2025
Der Dump enthüllte außerdem eine Benutzertabelle mit 75 LockBit- Administratoren und -Partnern, die Zugriff auf das Backend-Panel der Gruppe hatten. Sicherheitsexperten waren schockiert, als sie feststellten, dass die Benutzerpasswörter im Klartext gespeichert waren.
Der Cybersicherheitsforscher Michael Gillespie erwähnte einige der aufgedeckten Passwörter, darunter „Weekendlover69“, „MovingBricks69420“ und „Lockbitproud231“
LockBitSupp, ein bekannter Betreiber der LockBit-Gruppe, bestätigte in einem Tox-Chat mit Rey, dass der Datenverstoß tatsächlich stattgefunden hatte. Dennoch betonte er, dass keine privaten Schlüssel oder kritischen Daten verloren gegangen seien.
https://twitter.com/ReyXBF/status/1920245719434231900
Alon Gal, Chief Technology Officer bei Hudson Rock, erklärte, die Daten enthielten auch speziell angefertigte Ransomware-Versionen und einige Entschlüsselungsschlüssel. Laut Gal könnten die Schlüssel, sofern sie sich als authentisch erweisen, einigen Opfern helfen, ihre Daten ohne Lösegeldzahlung wiederherzustellen.
Ausnutzung von Server-Schwachstellen
Eine Analyse des SQL-Dumps ergab, dass auf dem betroffenen Server PHP 8.1.2 lief, eine Version, die anfällig für eine als „CVE-2024-4577“dentSicherheitslücke ist. Diese Sicherheitslücke ermöglicht die Ausführung von Remote-Code, was erklärt, wie Angreifer in die Backend-Systeme von LockBit eindringen und Daten exfiltrieren konnten.
Sicherheitsexperten vermuten, dass der Stil der Defacement-Nachricht dendent mit einem kürzlich erfolgten Angriff auf die Everest-Ransomware-Website in Verbindung bringt, bei dem dieselbe Formulierung „CRIME IS BAD“ verwendet wurde. Die Ähnlichkeit legt nahe, dass derselbe Akteur oder dieselbe Gruppe hinter beidendentstecken könnte, obwohl eine eindeutige Zuordnung noch nicht bestätigt wurde.
Die Hacker, die für den Datenverstoß verantwortlich sind, haben sich noch nicht gemeldet, aber Kevin Beaumont von einem in Großbritannien ansässigen Sicherheitsunternehmen sagte, dass die Gruppe DragonForce dafür verantwortlich sein könnte.
„Jemand hat LockBit gehackt. Ich tippe auf DragonForce“, schrieb er auf Mastodon.
Laut BBC war DragonForce angeblich an mehreren Cyberangriffen auf britische Einzelhändler beteiligt, darunter Marks & Spencer, Co-op und Harrods.
Im Jahr 2024 die Operation Cronos, eine von Großbritannien angeführte multinationale Aktion unter Beteiligung von Strafverfolgungsbehörden aus zehn Ländern, darunter das Federal Bureau of Investigation (FBI), vorübergehend die Aktivitäten von LockBit, obwohl die Gruppe schließlich wieder auftauchte.
Bei der Operation wurden Berichten zufolge 34 Server lahmgelegt, Krypto-Wallets beschlagnahmt und über 1.000 Entschlüsselungsschlüssel aufgedeckt.
Die Strafverfolgungsbehörden gehen davon aus, dass die Betreiber von LockBit in Russland ansässig sind, einem Land, in dem es schwierig wäre, sie strafrechtlich zu verfolgen. Ransomware-Banden konzentrieren ihre Operationen auf Russland, da direkte Festnahmen dort nahezu unmöglich sind.
Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren

Florence Muchai
Florence berichtet seit sechs Jahren über Krypto, Gaming, Technologie und KI. Ihr Informatikstudium an der Meru University of Science and Technology sowie ihr Studium des Katastrophenmanagements und der internationalen Diplomatie an der MMUST haben ihr fundierte Sprachkenntnisse, Beobachtungsgabe und technisches Know-how vermittelt. Florence arbeitete bereits für die VAP Group und als Redakteurin für verschiedene Krypto-Medien.
















