LockBit勒索软件团伙遭黑客攻击，6万个 Bitcoin 地址泄露

勒索软件组织 LockBit 遭遇网络攻击，其内部运作暴露无遗。与该组织活动相关的近 6 万个 Bitcoin 钱包地址、数千条受害者通信记录以及其后端基础设施的详细记录均被泄露。.

网络犯罪研究员雷伊（Rey）于周三晚些时候首次发现此次入侵事件，事件发生在 2025 年 4 月底。LockBit 的暗网联盟面板被篡改，取而代之的是一条信息：“不要犯罪。犯罪是坏事。来自布拉格的亲亲。”并附有一个名为“paneldb_dump.zip”的 MySQL 数据库转储文件的链接。 

https://twitter.com/ReyXBF/status/1920220381681418713

Rey 证实：“对数据库的基本分析表明，转储文件大约是在 4 月 29 日创建的，这表明 LockBit 在该日期或之前遭到入侵，随后在 5 月 7 日被篡改。”. 

面板转储中的数据泄露

据 Rey 称，根据网络安全出版物 BleepingComputer 的分析，泄露的数据库中大约有 20 个表，其中包括一个名为“btc_addresses”的表，其中列出了与 LockBit 勒索软件支付相关的 59,975 个唯一的 Bitcoin 钱包地址。.

此次泄露数据中其他值得关注的部分包括一个“构建版本”表，详细列出了LockBit关联方创建的勒索软件有效载荷。该表包含公钥，在某些情况下还包含目标公司的名称。. 

“builds_configurations”表显示了关联方配置其攻击以避免或加密的文件或服务器，以及在以前的勒索软件活动中使用的其他几种操作策略。.

从一个名为“聊天记录”的表格中可以看出，从 2024 年 12 月 19 日到 2025 年 4 月 29 日，LockBit 关联人员和受害者之间有超过 4400 条谈判信息。. 

pic.twitter.com/gjbtzQg9VM

— Ransom-DB (@Ransom_DB) 2025年5月8日

此次数据泄露还暴露了一个“用户”表，其中列出了75名LockBit 管理员 及其关联人员，他们拥有访问该组织后端控制面板的权限。安全专家震惊地发现，用户密码竟然以明文形式存储。 

网络安全研究员迈克尔·吉莱斯皮提到了一些泄露的密码，包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。 

LockBitSupp是LockBit组织的成员之一，他在Tox聊天中与Rey证实了此次数据泄露事件属实。不过，他坚称没有私钥或关键数据丢失。. 

https://twitter.com/ReyXBF/status/1920245719434231900

Hudson Rock首席技术官Alon Gal表示，这些数据还包括定制的勒索软件版本和一些解密密钥。Gal称，如果这些密钥得到验证，它们可以帮助一些受害者在不支付赎金的情况下恢复数据。.

利用服务器漏洞

对 SQL 转储文件的分析显示，受影响的服务器运行的是 PHP 8.1.2，该版本存在一个被dent为“CVE-2024-4577”的漏洞。该漏洞允许远程代码执行，这也解释了攻击者是如何渗透并窃取 LockBit 后端系统的。. 

安全专家认为，dent 网页篡改信息的风格可能与近期发生的 Everest 勒索软件网站入侵事件有关，后者也使用了同样的“犯罪是坏事”的措辞。这种相似性表明，两次dent幕后黑手可能是同一组织或团体，但目前尚未得到明确的证实。.

此次黑客攻击事件的幕后黑手尚未现身，但英国安全公司 Kevin Beaumont 表示，DragonForce 组织可能是幕后黑手。. 

“有人黑了 LockBit。我猜是 DragonForce，”他在 Mastodon 上写道。.

据 BBC 报道，DragonForce 涉嫌参与了对英国零售商的多起网络攻击，其中包括 Marks & Spencer、Co-op 和 Harrods。.

2024 年， 行动“克罗诺斯行动”由英国领导、包括联邦调查局 (FBI) 在内的十个国家的执法机构参与的跨国 重新出现。

据报道，此次行动摧毁了 34 台服务器，没收了加密钱包，并发现了 1000 多个解密密钥。. 

执法部门认为LockBit的运营者位于俄罗斯，而俄罗斯的司法管辖区很难将他们绳之以法。勒索软件团伙之所以将活动中心设在俄罗斯境内，是因为直接逮捕几乎是不可能的。.