/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F3d8967e65ddc508d5d11b7e56fd0c48b.jpg)
Хтось зламав одну з найвідоміших хакерських груп у світі
Що сталося з LockBit
Хакерське угруповання LockBit, відоме численними атаками з метою вимагання викупу, опинилося по інший бік кібервійни. Їхню партнерську інфраструктуру в даркнеті зламали, а замість панелей управління з’явилося іронічне повідомлення: "Не робіть злочинів, ЗЛОЧИН – ЦЕ ПОГАНО, xoxo з Праги". Разом із цим було опубліковано посилання на архів з витоком, повідомляє 24 Канал з посиланням на Reuters.
Архів містив дамп бази даних MySQL з партнерської панелі сайту LockBit. Першим витік помітив кіберентузіаст під псевдонімом Рей, а згодом аналітики підтвердили справжність вмісту. База включала 20 таблиць з важливою інформацією.
- Зокрема, таблиця btc_addresses містить майже 60 тисяч унікальних біткоїн-адрес, пов’язаних із операціями групи.
- У таблиці builds – конкретні збірки шкідливого ПЗ, створені партнерами.
- В builds_configurations – налаштування для атак, включно з інструкціями, які сервери не шифрувати.
- Найціннішою виявилася таблиця chats, де зафіксовано 4 442 повідомлення про переговори між зловмисниками та їхніми жертвами з грудня 2024 по квітень 2025 року.
- Крім того, у таблиці users перелічено 75 адміністраторів і партнерів LockBit, причому паролі до акаунтів зберігались у відкритому вигляді. Деякі з них виявились відверто комічними – “Weekendlover69”, “MovingBricks69420” та “Lockbitproud231”.
Факт зламу підтвердив оператор LockBit, відомий під ніком LockBitSupp, у спілкуванні з дослідником Реєм. За його словами, приватні ключі не витекли, хоча масштаби атаки вказують на серйозну втрату контролю над інфраструктурою. Дата останнього повідомлення в таблиці чатів збігається з днем створення дампа – 29 квітня 2025 року.
Хто саме зламав LockBit – поки невідомо. Проте метод втручання дуже нагадує злам даркнет-сайту іншого здирницького угруповання – Everest. Це може свідчити про спільне походження атак або ж про появу нового "мисливця на хакерів".
Раніше, у 2024 році, LockBit вже постраждала внаслідок масштабної операції правоохоронців під кодовою назвою "Операція Кронос", у межах якої було знищено 34 сервери, вилучено дані жертв, криптогаманці, ключі дешифрування та партнерські платформи. Після того група швидко заявила про своє повернення до мережі, заявивши: "Нас не зупинити".
Проте новий витік значно глибший – аналітики Rapid7 та Analyst1 вважають, що він завдасть групі помітної шкоди. За словами Крістіана Біка з Rapid7, шокує не лише саме проникнення, а й той факт, що LockBit працювали навіть з мікропідприємствами, беручи викупи з усіх без розбору. Джон ДіМаджіо з Analyst1 вважає, що це "уповільнить їхню роботу".
