臭名昭著的LockBit勒索軟件組織遭遇重大安全事件。5月7日，攻擊者篡改了該組織的暗網(wǎng)基礎(chǔ)設(shè)施，并泄露了包含敏感運營細節(jié)的完整數(shù)據(jù)庫。此次入侵給這個全球最活躍的勒索軟件團伙造成了沉重打擊。 

Part01 暗網(wǎng)主頁遭篡改

訪問LockBit暗網(wǎng)站點的用戶現(xiàn)在會看到一條挑釁性信息："別犯罪 犯罪是壞事 xoxo  來自布拉格"，同時附有可下載名為"paneldb_dump.zip"文件的鏈接，該文件包含MySQL數(shù)據(jù)庫轉(zhuǎn)儲。 

Part02 敏感數(shù)據(jù)全面泄露

安全研究人員已確認泄露數(shù)據(jù)的真實性，其中包含大量關(guān)于該勒索軟件運營的關(guān)鍵信息。數(shù)據(jù)庫包括： 

? 約6萬個用于收取贖金的唯一比特幣錢包地址

? 4442條LockBit運營者與受害者之間的談判消息（時間跨度為去年12月至今年4月下旬）

? 為特定攻擊定制的勒索軟件構(gòu)建細節(jié)

最令人尷尬的是，泄露數(shù)據(jù)中還包含一個用戶表，其中75名管理員和關(guān)聯(lián)人員的密碼以明文形式存儲。Hudson Rock  聯(lián)合創(chuàng)始人兼首席技術(shù)官Alon Gal稱此次泄露是"執(zhí)法部門的金礦"，將極大助力追蹤加密貨幣支付并將攻擊歸因于特定威脅行為者。 

Part03 LockBit試圖淡化事件影響

LockBit試圖淡化此次事件的影響。該組織在其泄露網(wǎng)站上用西里爾文字發(fā)布消息稱："5月7日，他們?nèi)肭至嗣嫦蛩腥俗詣幼缘妮p量級面板，獲取了數(shù)據(jù)庫，但沒有任何解密器  和被盜公司數(shù)據(jù)受到影響"。該組織還懸賞征集有關(guān)此次入侵的布拉格黑客信息。 

此次入侵距離2024年2月執(zhí)法部門開展的"克羅諾斯行動"（Operation Cronos）僅數(shù)月之遙，該行動曾暫時中斷了LockBit的基礎(chǔ)設(shè)施。雖然該組織在行動后重建并恢復(fù)了運營，但其聲譽已遭受重大損害。研究人員指出，該組織近期公布的許多受害者信息都是重復(fù)使用早期攻擊或其他勒索軟件組織的數(shù)據(jù)。 

此次入侵與近期針對Everest勒索軟件組織的攻擊類似，兩者使用了相同的篡改信息。網(wǎng)絡(luò)安全研究人員推測，這兩起攻擊可能都與PHP 8.1.2中的關(guān)鍵漏洞（CVE-2024-4577）有關(guān)，該漏洞允許遠程代碼執(zhí)行。 

對于LockBit這個在2023年初約占全球所有勒索軟件事件44%的組織而言，此次入侵可能造成毀滅性打擊，不僅會削弱合作伙伴的信任，還將進一步阻礙其運營。

文章來源：https://mp.weixin.qq.com/s/-wgYuFANrKP_OgXzvFs_og