Partnerski panel maliciozne grupe LockBit Ransomware-as-a-Service (RaaS) je hakovan i izmijenjen, a prikazana je poveznica ka MySQL bazi podataka za preuzimanje, za koju se tvrdi da sadrži procurile podatke vezane za operacije ove grupe.
Oštećeni panel za afilijaciju dark weba (Izvor: Help Net Security)
Napad je potvrdio LockBitSupp – kreator, developer i administrator grupe LockBit – koji je pokušao umanjiti značaj napada tvrdeći da dekripteri, ukradeni podaci kompanija i izvorni kod ransomwarea nisu kompromitovani.
Dump MySQL baze podataka je navodno kreiran 29. aprila 2025. godine i sadrži:
- Skoro 60.000 jedinstvenih bitcoin adresa / novčanika
- Prilagođene verzije ransomwarea kreirane za specifične napade i pridružene javne ključeve
- Skoro 4.500 poruka pregovora razmijenjenih između operatera ransomwarea i žrtava
- Spisak od 76 partnera (tj. korisnika partnerskog panela)
Procurjeli podaci će pomoći istražiteljima
Iako postoji mnogo spekulacija o osobi ili grupi koja stoji iza ovog napada, u krugovima cyber sigurnosti osjeća se uzbuđenje zbog procurjelih podataka koji – kako mnogi napominju – djeluju autentično.
„Rana analiza samih podataka pokazuje da su djelimično sastavljeni od ‘korisničkih podataka’ za LockBit stranicu, gotovo sigurno vezanih za partnere ili administratore grupe. Identifikovali smo 76 korisnika u podacima, čija korisnička imena i lozinke su uključeni u curenje,“ izjavio je Luke Donovan, šef za obavještavanje o prijetnjama u kompaniji Searchlight Cyber za Help Net Security.
„Ovi korisnički podaci će biti vrijedni za istraživače cyber sigurnosti, jer nam omogućavaju da naučimo više o partnerima LockBita i načinu na koji oni funkcionišu. Na primjer, unutar tih 76 korisnika, 22 imaju pridružene TOX ID-ove, što je servis za razmjenu poruka popularan u hakerskoj zajednici. Ovi TOX ID-ovi su nam omogućili da povežemo trojicu od procurjelih korisnika s aliasima na hakerskim forumima, koji koriste iste TOX ID-ove. Analizom njihovih razgovora na forumima moći ćemo saznati više o grupi, npr. kakav pristup kupuju kako bi hakovali organizacije.“
Christiaan Beek, viši direktor analitike prijetnji u Rapid7, istakao je da poruke pregovora pokazuju koliko je LockBit agresivan tokom pregovora o otkupnini.
Nije poznato koliko je tih otkupnina zapravo isplaćeno, ali poruke nude uvid u način na koji partneri LockBita pregovaraju sa žrtvama i pokazuju da napadaju organizacije svih veličina.
„U nekim slučajevima, žrtve su bile pod pritiskom da plate samo nekoliko hiljada dolara. U drugim slučajevima, grupa je tražila mnogo više: 50.000, 60.000, pa i 100.000 dolara,“ naveo je Beek.
LockBit oslabio, ali nije uništen
Operacija LockBit je pretrpjela veliki udarac 2024. godine kada je međunarodna akcija sprovedena od strane organa reda („Operacija Cronos“) preuzela njihovu dark web stranicu za curenje podataka i dodatnu infrastrukturu.
Akcija je takođe dovela do hapšenja i/ili podizanja optužnica protiv više partnera LockBita u Poljskoj, Ukrajini i Rusiji, zamrzavanja preko 200 kripto-novčanika povezanih sa grupom i gašenja servera.
Nekoliko mjeseci kasnije, navodni identitet LockBitSupp-a je otkriven, a nakon toga je jedna osoba optužena za navodno razvijanje softvera za ransomware grupu.
Iako su pretrpjeli težak udarac, LockBit je očito uspio prebroditi tu krizu i nastaviti sa radom i regrutovanjem novih partnera. Vrijeme će pokazati hoće li ovaj posljednji udarac natjerati hakeri da napuste LockBit ime i osnuju novu kriminalnu grupu.
Izvor:Help Net Security