Maliciozna operacija ransomware-a LockBit pretrpjela je značajan proboj. Napadači su 7. maja oštetili njihovu infrastrukturu dark weba i procurili sveobuhvatnu bazu podataka koja sadrži osjetljive operativne detalje.
Hak predstavlja veliki udarac jednoj od najplodnijih svjetskih grupa za ransomware.
Posjetioci LockBitovih mračnih web stranica sada su dočekani prkosnom porukom: „Nemojte činiti kriminal, KRIMINAL JE LOŠ xoxo iz Praga“, uz link za preuzimanje datoteke pod nazivom „paneldb_dump.zip“ koja sadrži MySQL bazu podataka.
Istraživači sigurnosti potvrdili su autentičnost procurjelih podataka, koji sadrže bogatstvo informacija o operaciji ransomware-a.
Baza podataka uključuje približno 60.000 jedinstvenih adresa Bitcoin novčanika korištenih za plaćanje otkupnine, 4.442 poruke o pregovorima između LockBit operatera i njihovih žrtava u periodu od decembra do kraja aprila, te detalje o prilagođenim verzijama ransomwarea kreiranim za specifične napade.
Možda najneugodnije, curenje informacija otkrilo je korisničku tabelu koja sadrži lozinke u otvorenom tekstu za 75 administratora i saradnika.
Alon Gal, suosnivač i tehnički direktor u Hudson Rocku, nazvao je kršenje sigurnosti “zlatnim rudnikom za provođenje zakona” koje bi moglo značajno pomoći u praćenju plaćanja kriptovalutama i pripisivanju napada određenim prijetnjama.
LockBit je pokušao umanjiti značaj incidenta. U poruci objavljenoj na njihovoj stranici za otkrivanje informacija, ćirilicom, grupa je tvrdila: „Dana 7. maja, hakovali su svjetlosnu ploču s automatskom registracijom za sve, uzeli bazu podataka, nijedan dekriptor i nijedan ukradeni podatak kompanije nije pogođen.“ Grupa je ponudila plaćanje za informacije o hakeru sa sjedištem u Pragu koji je odgovoran za provalu.
Ovaj hakerski napad dolazi samo nekoliko mjeseci nakon Operacije Cronos , koordinirane akcije provođenja zakona koja je privremeno poremetila infrastrukturu LockBita u februaru 2024. godine.
Iako je grupa uspjela da se obnovi i nastavi sa radom nakon tog uklanjanja, njen ugled je već pretrpio značajnu štetu. Istraživači su primijetili da su mnoge od njihovih nedavnih tvrdnji o žrtvama reciklirane iz ranijih napada ili od drugih grupa za ransomware.
Ovaj proboj podsjeća na nedavni napad na ransomware operaciju Everest, koja je koristila identičnu poruku za uništavanje podataka. Istraživači sajber sigurnosti nagađaju da bi oba napada mogla biti povezana s kritičnom ranjivošću u PHP 8.1.2 ( CVE-2024-4577 ) koja omogućava udaljeno izvršavanje koda.
Za LockBit, koji je bio odgovoran za otprilike 44% svih incidenata s ransomwareom širom svijeta početkom 2023. godine, ovo kršenje predstavlja potencijalno razoran korak unazad koji bi mogao potkopati povjerenje partnera i dodatno ometati njihovo poslovanje.
Izvor: CyberSecurityNews