/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F3d8967e65ddc508d5d11b7e56fd0c48b.jpg)
Хтось зламав одну з найвідоміших хакерських груп у світі
Що сталося з LockBit
Хакерське угруповання LockBit, відоме численними атаками з метою вимагання викупу, опинилося по інший бік кібервійни. Їхню партнерську інфраструктуру в даркнеті зламали, а замість панелей управління з’явилося іронічне повідомлення: "Не робіть злочинів, ЗЛОЧИН – ЦЕ ПОГАНО, xoxo з Праги". Разом із цим було опубліковано посилання на архів з витоком, повідомляє 24 Канал з посиланням на Reuters.
Архів містив дамп бази даних MySQL з партнерської панелі сайту LockBit. Першим витік помітив кіберентузіаст під псевдонімом Рей, а згодом аналітики підтвердили справжність вмісту. База включала 20 таблиць з важливою інформацією.
- Зокрема, таблиця btc_addresses містить майже 60 тисяч унікальних біткоїн-адрес, пов’язаних із операціями групи.
- У таблиці builds – конкретні збірки шкідливого ПЗ, створені партнерами.
- В builds_configurations – налаштування для атак, включно з інструкціями, які сервери не шифрувати.
- Найціннішою виявилася таблиця chats, де зафіксовано 4 442 повідомлення про переговори між зловмисниками та їхніми жертвами з грудня 2024 по квітень 2025 року.
- Крім того, у таблиці users перелічено 75 адміністраторів і партнерів LockBit, причому паролі до акаунтів зберігались у відкритому вигляді. Деякі з них виявились відверто комічними – “Weekendlover69”, “MovingBricks69420” та “Lockbitproud231”.
Факт зламу підтвердив оператор LockBit, відомий під ніком LockBitSupp, у спілкуванні з дослідником Реєм. За його словами, приватні ключі не витекли, хоча масштаби атаки вказують на серйозну втрату контролю над інфраструктурою. Дата останнього повідомлення в таблиці чатів збігається з днем створення дампа – 29 квітня 2025 року.
Хто саме зламав LockBit – поки невідомо. Проте метод втручання дуже нагадує злам даркнет-сайту іншого здирницького угруповання – Everest. Це може свідчити про спільне походження атак або ж про появу нового "мисливця на хакерів".
Раніше, у 2024 році, LockBit вже постраждала внаслідок масштабної операції правоохоронців під кодовою назвою "Операція Кронос", у межах якої було знищено 34 сервери, вилучено дані жертв, криптогаманці, ключі дешифрування та партнерські платформи. Після того група швидко заявила про своє повернення до мережі, заявивши: "Нас не зупинити".
Проте новий витік значно глибший – аналітики Rapid7 та Analyst1 вважають, що він завдасть групі помітної шкоди. За словами Крістіана Біка з Rapid7, шокує не лише саме проникнення, а й той факт, що LockBit працювали навіть з мікропідприємствами, беручи викупи з усіх без розбору. Джон ДіМаджіо з Analyst1 вважає, що це "уповільнить їхню роботу".
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Ffavicons%2Fsocial-icon-24.png){kind=icon}
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F64%2F7cec63b674fb32ae2304265c80d9f836.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F45%2Feb74ed84ecd8bb75b12e5d0db6dd1ba8.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fc7c10f32a53a44d8829ad5d9301c054f.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fdf019613815f8b1b2def3c561f73b7bb.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fd44b90d6bfd685e97d55132fe4fee8ae.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fc0d5c25fea8cf09ea7f8ad7f488ac441.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F82f1a85ce4bc257c0bc3ab372c95b7eb.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F77ba87c9e9b7369652ce647b389647ed.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fe60f5b1d08d714e68c8c395b121d5326.jpg)