Группа, занимавшаяся распространением вируса-вымогателя LockBit, подверглась хакерской атаке, произошла утечка 60 000 Bitcoin адресов

Группа компаний LockBit, занимающаяся распространением программ-вымогателей, подверглась кибератаке, в результате которой были раскрыты ее внутренние операции. В сеть попали почти 60 000 адресов Bitcoin -кошельков, связанных с деятельностью группы, а также тысячи сообщений от жертв и подробные записи из ее внутренней инфраструктуры.

Взлом, впервые замеченный исследователем киберпреступлений Реем в среду вечером, произошел в конце апреля 2025 года. Партнерские панели LockBit в даркнете были взломаны, вместо них появилось сообщение: «Не совершайте преступлений. ПРЕСТУПЛЕНИЕ — ЭТО ПЛОХО. Целую из Праги», со ссылкой на дамп базы данных MySQL под названием «paneldb_dump.zip» 

https://twitter.com/ReyXBF/status/1920220381681418713

«Базовый анализ базы данных показывает, что дамп был создан примерно 29 апреля, что позволяет предположить, что LockBit был взломан в этот день или раньше, а затем взломан 7 мая», — подтвердил Рей. 

Раскрытие данных в дампе панели

По словам Рея, ссылающегося на анализ издания BleepingComputer, занимающегося кибербезопасностью, в просочившейся базе данных содержалось около 20 таблиц, включая таблицу 'btc_addresses', в которой были перечислены 59 975 уникальных адресов Bitcoin кошельков, связанных с платежами за выкуп, произведенные программой-вымогателем LockBit.

Среди других важных данных, содержащихся в утечке, — таблица «сборок», в которой подробно описаны полезные нагрузки программ-вымогателей, созданных филиалами LockBit. Таблица включает в себя открытые ключи шифрования и, в некоторых случаях, названия целевых компаний. 

В таблице 'builds_configurations' было показано, какие файлы или серверы участники атак настроили для предотвращения или шифрования атак, а также несколько других оперативных тактик, использованных в предыдущих кампаниях по распространению программ-вымогателей.

Как видно из таблицы, озаглавленной «чаты», между сотрудниками LockBit и пострадавшими было отправлено более 4400 сообщений, содержащих переговоры, в период с 19 декабря 2024 года по 29 апреля 2025 года. 

pic.twitter.com/gjbtzQg9VM

— Ransom-DB (@Ransom_DB) 8 мая 2025 г

В результате анализа данных также была обнаружена таблица «пользователи», содержащая список из 75 администраторов и партнеров LockBit, имеющих доступ к панели управления группы. Специалисты по безопасности были шокированы, обнаружив, что пароли пользователей хранились в открытом виде. 

Исследователь в области кибербезопасности Майкл Гиллеспи упомянул некоторые из раскрытых паролей, в том числе «Weekendlover69», «MovingBricks69420» и «Lockbitproud231» 

LockBitSupp, известный оператор группы LockBit, подтвердил в чате Tox с Реем, что взлом действительно произошел. Тем не менее, оператор настаивал на том, что никакие закрытые ключи или важные данные не были утеряны. 

https://twitter.com/ReyXBF/status/1920245719434231900

Алон Гал, технический директор Hudson Rock, заявил, что данные также включают в себя пользовательские сборки программ-вымогателей и некоторые ключи расшифровки. По словам Гала, если эти ключи подтвердятся, они могут помочь некоторым жертвам восстановить свои данные без уплаты выкупа.

Эксплуатация уязвимостей сервера

Анализ дампа SQL показал, что на затронутом сервере работала PHP 8.1.2, версия, уязвимая для ошибки,dentкак «CVE-2024-4577». Эта уязвимость позволяет удаленно выполнять код, что объясняет, как злоумышленникам удалось проникнуть в бэкэнд-системы LockBit и извлечь оттуда данные. 

Специалисты по безопасности полагают, что стиль сообщения, использованного для взлома сайта, может связать этотdent с недавним взломом сайта, зараженного вирусом-вымогателем Everest, где использовалась та же фраза «ПРЕСТУПЛЕНИЕ — ЭТО ПЛОХО». Сходство предполагает, что за обоимиdentможет стоять один и тот же злоумышленник или группа, хотя точная причастность пока не подтверждена.

Личности хакеров, совершивших взлом, пока не раскрыты, но Кевин Бомонт, представитель британской компании по обеспечению безопасности, заявил, что за это может нести ответственность группа DragonForce. 

«Кто-то взломал LockBit. Я предполагаю, что это DragonForce», — написал он на Mastodon.

По данным BBC, компания DragonForce предположительно была причастна к нескольким кибератакам на британские розничные сети, включая Marks & Spencer, Co-op и Harrods.

В 2024 году операция «Кронос», многонациональная операция под руководством Великобритании с участием правоохранительных органов десяти стран, включая Федеральное бюро расследований (ФБР), временно приостановила деятельность LockBit, хотя группа в конечном итоге возобновила свою деятельность.

По имеющимся данным, в ходе операции были выведены из строя 34 сервера, конфискованы криптовалютные кошельки и обнаружено более 1000 ключей расшифровки. 

Правоохранительные органы полагают, что операторы LockBit базируются в России, юрисдикции, где привлечь их к ответственности будет сложно. Банды, занимающиеся распространением программ-вымогателей, сосредоточивают свою деятельность в пределах России, поскольку прямые аресты практически невозможны.