최신 뉴스
당신을 위해 엄선되었습니다

록비트 랜섬웨어 조직이 해킹당해 6만 개의 Bitcoin ​​주소가 유출됐다

에 의해플로렌스 무차이플로렌스 무차이
읽는 데 3분 소요
록비트 랜섬웨어 조직이 해킹당해 6만 개의 Bitcoin ​​주소가 유출됐다
  • 록비트(LockBit) 랜섬웨어 조직이 대규모 해킹 공격을 받아 6만 개의 Bitcoin 코인 ​​지갑 주소와 내부 데이터가 유출되었습니다.
  • 해커들이 LockBit의 다크 웹 패널을 변조하여 피해자들의 채팅 내용, 제휴 프로그램 구성 내역, 평문 비밀번호 등을 노출시켰습니다.
  • 이번 침해 사고는 DragonForce와 연관이 있을 수 있으며, 보안 분석가들은 PHP 취약점 CVE-2024-4577을 공격 경로로 지목했습니다.

랜섬웨어 그룹 록비트(LockBit)가 사이버 공격을 받아 내부 운영이 노출되었습니다. 이 그룹의 활동과 관련된 약 6만 개의 Bitcoin 코인 ​​지갑 주소와 수천 건의 피해자 통신 내역, 그리고 백엔드 인프라에 대한 상세 기록이 유출되었습니다.

수요일 늦게 사이버 범죄 연구원 레이가 처음 발견한 이번 침해 사건은 2025년 4월 말에 발생했습니다. 록비트의 다크 웹 제휴 패널이 변조되어 "범죄를 저지르지 마세요. 범죄는 나쁩니다. 프라하에서 xoxo"라는 메시지와 "paneldb_dump.zip"이라는 제목의 MySQL 데이터베이스 덤프 링크로 대체되었습니다 

https://twitter.com/ReyXBF/status/1920220381681418713

레이는 "데이터베이스에 대한 기본적인 분석 결과, 해당 덤프는 4월 29일경에 생성된 것으로 나타났으며, 이는 LockBit이 그 날짜 또는 그 이전에 해킹당했고 이후 5월 7일에 변조되었음을 시사한다"고 확인했다. 

패널 덤프에서 데이터 노출

사이버 보안 전문 매체 블리핑컴퓨터(BleepingComputer)의 분석을 인용한 레이의 말에 따르면, 유출된 데이터베이스에는 약 20개의 테이블이 있었고, 그중에는 록비트(LockBit) 랜섬웨어 결제와 관련된 59,975개의 고유한 Bitcoin 코인 ​​지갑 주소가 나열된 'btc_addresses' 테이블도 있었다고 합니다.

유출된 데이터 중 주목할 만한 다른 자료로는 LockBit 계열사가 제작한 랜섬웨어 페이로드를 상세히 기록한 '빌드' 표가 있습니다. 이 표에는 공개 암호화 키와 경우에 따라 공격 대상 기업 이름이 포함되어 있습니다. 

'builds_configurations' 테이블은 제휴사들이 공격을 회피하거나 암호화하도록 구성한 파일이나 서버, 그리고 이전 랜섬웨어 캠페인에서 사용된 여러 가지 운영 전술을 보여주었습니다.

'채팅'이라고 표시된 표에서 볼 수 있듯이, 2024년 12월 19일부터 2025년 4월 29일까지 LockBit 제휴사와 피해자 간에 4,400건 이상의 협상 메시지가 오갔습니다. 

유출된 데이터에는 LockBit 관리자 및 관련자 75명이 그룹의 백엔드 패널에 접근 권한을 가진 '사용자' 테이블도 포함되어 있었습니다 . 보안 전문가들은 사용자 비밀번호가 평문으로 저장되어 있는 것을 발견하고 충격을 받았습니다

사이버 보안 연구원 마이클 길레스피는 유출된 비밀번호 중 일부를 언급했는데, 여기에는 "Weekendlover69", "MovingBricks69420", "Lockbitproud231" 등이 포함됩니다 

LockBit 그룹의 운영자로 알려진 LockBitSupp는 Rey와의 Tox 채팅에서 해킹 사건이 실제로 발생했음을 확인했습니다. 하지만 그는 개인 키나 중요 데이터는 유출되지 않았다고 주장했습니다. 

https://twitter.com/ReyXBF/status/1920245719434231900

허드슨 록의 최고 기술 책임자인 알론 갈은 해당 데이터에 맞춤형 랜섬웨어 빌드와 일부 복호화 키가 포함되어 있다고 밝혔습니다. 갈에 따르면, 이 키가 검증될 경우 일부 피해자는 몸값을 지불하지 않고도 데이터를 복구할 수 있을 것으로 예상됩니다.

서버 취약점 악용

SQL 덤프 분석 결과, 해당 서버는 PHP 8.1.2 버전을 실행 중이었으며, 이 버전은 "CVE-2024-4577"로dent된 취약점에 취약한 것으로 나타났습니다. 이 취약점은 원격 코드 실행을 허용하며, 공격자들이 LockBit의 백엔드 시스템에 침투하여 데이터를 유출할 수 있었던 이유를 설명해 줍니다. 

보안 전문가들은 변조된 메시지의 형식이 최근 에베레스트 랜섬웨어 사이트 해킹dent 과 연관이 있을 수 있다고 보고 있습니다. 에베레스트 해킹 사건 역시 동일한 "범죄는 나쁘다(CRIME IS BAD)"라는 문구를 사용했기 때문입니다. 이러한 유사성은 동일한 공격자 또는 그룹이 두dent의 배후에 있을 가능성을 시사하지만, 아직 명확한 배후는 확인되지 않았습니다.

해킹을 저지른 해커들은 아직 모습을 드러내지 않았지만, 영국 보안 회사인 케빈 보몬트는 드래곤포스라는 그룹이 배후일 가능성이 있다고 밝혔습니다. 

"누군가 LockBit을 해킹했습니다. 제 생각엔 DragonForce의 소행인 것 같습니다."라고 그는 마스토돈에 글을 남겼습니다.

BBC에 따르면, 드래곤포스는 막스앤스펜서, 코옵, 해러즈 등 영국 소매업체들을 대상으로 여러 차례 사이버 공격에 연루된 혐의를 받고 있다.

2024년, 영국이 주도하고 연방수사국(FBI)을 포함한 10개국 법 집행 기관이 참여한 다국적 작전인 '크로노스 작전'으로 록비트의 활동이 일시적으로 중단되었지만, 이 그룹은 결국 다시 활동 을 재개했습니다 .

보도에 따르면 이번 작전으로 서버 34대가 다운되고 암호화폐 지갑이 압수되었으며 1,000개 이상의 암호 해독 키가 발견되었습니다. 

수사 당국은 록비트 운영자들이 러시아에 기반을 두고 있다고 보고 있는데, 러시아는 이들을 기소하기 어려운 관할 구역입니다. 랜섬웨어 조직들은 직접 체포가 거의 불가능하기 때문에 러시아 국경 내에서 활동을 집중합니다.

암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.

이 기사를 공유하세요

면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .

플로렌스 무차이

플로렌스 무차이

플로렌스는 지난 6년간 암호화폐, 게임, 기술 및 AI 관련 뉴스를 취재해 왔습니다. 메루 과학기술대학교에서 컴퓨터공학을, MMUST에서 재난 관리 및 국제 외교를 전공하며 쌓은 전문성은 그녀에게 언어, 관찰력, 기술적 역량을 충분히 갖추도록 해주었습니다. 플로렌스는 VAP 그룹에서 근무했으며 여러 암호화폐 관련 미디어 매체에서 편집자로 활동했습니다.

더 많은 뉴스