臭名昭著的LockBit勒索軟件組織遭遇重大安全事件。5月7日，攻擊者篡改了該組織的暗網(wǎng)基礎(chǔ)設(shè)施，并泄露了包含敏感運(yùn)營細(xì)節(jié)的完整數(shù)據(jù)庫。此次入侵給這個(gè)全球最活躍的勒索軟件團(tuán)伙造成了沉重打擊。 

Part01 暗網(wǎng)主頁遭篡改

訪問LockBit暗網(wǎng)站點(diǎn)的用戶現(xiàn)在會(huì)看到一條挑釁性信息："別犯罪 犯罪是壞事 xoxo  來自布拉格"，同時(shí)附有可下載名為"paneldb_dump.zip"文件的鏈接，該文件包含MySQL數(shù)據(jù)庫轉(zhuǎn)儲(chǔ)。 

Part02 敏感數(shù)據(jù)全面泄露

安全研究人員已確認(rèn)泄露數(shù)據(jù)的真實(shí)性，其中包含大量關(guān)于該勒索軟件運(yùn)營的關(guān)鍵信息。數(shù)據(jù)庫包括： 

? 約6萬個(gè)用于收取贖金的唯一比特幣錢包地址

? 4442條LockBit運(yùn)營者與受害者之間的談判消息（時(shí)間跨度為去年12月至今年4月下旬）

? 為特定攻擊定制的勒索軟件構(gòu)建細(xì)節(jié)

最令人尷尬的是，泄露數(shù)據(jù)中還包含一個(gè)用戶表，其中75名管理員和關(guān)聯(lián)人員的密碼以明文形式存儲(chǔ)。Hudson Rock  聯(lián)合創(chuàng)始人兼首席技術(shù)官Alon Gal稱此次泄露是"執(zhí)法部門的金礦"，將極大助力追蹤加密貨幣支付并將攻擊歸因于特定威脅行為者。 

Part03 LockBit試圖淡化事件影響

LockBit試圖淡化此次事件的影響。該組織在其泄露網(wǎng)站上用西里爾文字發(fā)布消息稱："5月7日，他們?nèi)肭至嗣嫦蛩腥俗詣?dòng)注冊(cè)的輕量級(jí)面板，獲取了數(shù)據(jù)庫，但沒有任何解密器  和被盜公司數(shù)據(jù)受到影響"。該組織還懸賞征集有關(guān)此次入侵的布拉格黑客信息。 

此次入侵距離2024年2月執(zhí)法部門開展的"克羅諾斯行動(dòng)"（Operation Cronos）僅數(shù)月之遙，該行動(dòng)曾暫時(shí)中斷了LockBit的基礎(chǔ)設(shè)施。雖然該組織在行動(dòng)后重建并恢復(fù)了運(yùn)營，但其聲譽(yù)已遭受重大損害。研究人員指出，該組織近期公布的許多受害者信息都是重復(fù)使用早期攻擊或其他勒索軟件組織的數(shù)據(jù)。 

此次入侵與近期針對(duì)Everest勒索軟件組織的攻擊類似，兩者使用了相同的篡改信息。網(wǎng)絡(luò)安全研究人員推測(cè)，這兩起攻擊可能都與PHP 8.1.2中的關(guān)鍵漏洞（CVE-2024-4577）有關(guān)，該漏洞允許遠(yuǎn)程代碼執(zhí)行。 

對(duì)于LockBit這個(gè)在2023年初約占全球所有勒索軟件事件44%的組織而言，此次入侵可能造成毀滅性打擊，不僅會(huì)削弱合作伙伴的信任，還將進(jìn)一步阻礙其運(yùn)營。

文章來源：https://mp.weixin.qq.com/s/-wgYuFANrKP_OgXzvFs_og