Беспрецедентная утечка данных раскрывает финансовую инфраструктуру одной из крупнейших вымогательских группировок
Хакеры совершили успешную атаку на инфраструктуру печально известной вымогательской группы LockBit, в результате чего в публичный доступ попала обширная база данных, содержащая 59 975 биткоин-адресов, 4442 переговорных сессии с жертвами и конфигурации атак. Об этом сообщает издание Bleeping Computer. На теневых форумах группы появилось сообщение от взломщиков: «Не занимайтесь преступлениями. ПРЕСТУПЛЕНИЕ — ЭТО ПЛОХО xoxo из Праги». Администратор и разработчик LockBit Дмитрий Хорошев, известный под ником LockBitSupp, подтвердил факт взлома, но утверждает, что приватные ключи кошельков не были скомпрометированы. Этот инцидент может иметь серьезные последствия для операционной деятельности группировки и представляет значительный интерес для правоохранительных органов по всему миру.
Масштаб утечки: что получили хакеры и мировое сообщество
По данным исследователя, известного под ником Rey, масштаб утечки впечатляет и включает в себя несколько критических компонентов инфраструктуры LockBit. В первую очередь, это таблицы с биткоин-кошельками, которые, вероятно, принадлежат аффилированным лицам и используются в инфраструктуре группировки. Также были раскрыты детальные настройки для проведения атак, включая списки серверов и файлов, подлежащих шифрованию.
Особую ценность для исследователей и правоохранительных органов представляют логи чатов с требованиями выкупа, которые могут содержать детали переговоров с жертвами и информацию о суммах выкупа. Кроме того, были опубликованы данные 75 администраторов и партнеров LockBit, включая их пароли, хранившиеся в открытом виде.
«Эта утечка предоставляет беспрецедентный взгляд на внутреннюю работу одной из самых опасных вымогательских группировок современности», — комментирует Александр Петров, эксперт по кибербезопасности и анализу вредоносного ПО. «Особенно ценны биткоин-адреса, которые могут помочь отследить финансовые потоки группировки и потенциально идентифицировать участников».
Анализ, проведенный специалистами Bleeping Computer, показал, что утечка произошла 29 апреля. Серверы группы использовали уязвимую версию PHP 8.1.2, что, вероятно, и стало ключевым фактором, способствовавшим успешной атаке. Специалисты отмечают, что подпись злоумышленников совпадает со взломом даркнет-сайта Everest, произошедшим также в апреле, что может указывать на связь между этими инцидентами.
«Использование устаревшей и уязвимой версии PHP для критически важной инфраструктуры — это серьезная ошибка, которая подчеркивает, что даже опытные киберпреступники могут пренебрегать базовыми принципами безопасности», — отмечает Мария Соколова, специалист по компьютерной криминалистике. «Эта халатность предоставила возможность для белых хакеров или спецслужб проникнуть в их системы».
LockBit под ударом: история и контекст кибератаки
LockBit считается одной из наиболее опасных и активных вымогательских группировок последних лет. Группа использует модель Ransomware-as-a-Service (RaaS), предоставляя свое вредоносное ПО партнерам, которые проводят атаки и делятся полученными выкупами с создателями программы. Этот подход позволил LockBit значительно расширить масштаб своих операций и стать одной из доминирующих сил на рынке программ-вымогателей.
Нынешний инцидент — не первая серьезная атака на инфраструктуру LockBit. В феврале 2024 года Национальное агентство по борьбе с преступностью Великобритании (NCA) совместно с международными партнерами частично захватило инфраструктуру шифровальщика и арестовало 200 криптокошельков, связанных с группировкой. Эта операция, получившая название «Кронос», была значительным ударом по операционным возможностям LockBit, но группа быстро восстановилась.
«LockBit демонстрирует необычайную устойчивость к правоохранительным операциям», — объясняет Дмитрий Волков, директор по исследованиям в области киберпреступности. «После февральской операции многие ожидали, что группа исчезнет, как это произошло с REvil и другими вымогателями после аналогичных операций. Однако LockBit быстро восстановил свою инфраструктуру и продолжил атаки».
Недавний взлом, однако, может оказаться более разрушительным для операционной безопасности группы. Если в феврале правоохранительные органы атаковали в основном техническую инфраструктуру, то нынешняя утечка раскрывает личные данные участников и финансовую систему группировки.
Особенно интересен факт, что атакующие оставили сообщение «xoxo из Праги», что может указывать на чешский след в атаке. Однако эксперты предупреждают, что такие указания на географическое происхождение часто используются для дезинформации и отвлечения внимания.
Последствия для криптовалютного рынка и правоохранительных органов
Публикация почти 60 000 биткоин-адресов, связанных с LockBit, открывает новые возможности для отслеживания финансовых потоков вымогательской группы. Хотя администратор LockBitSupp утверждает, что приватные ключи не были скомпрометированы, сама идентификация адресов позволяет аналитикам блокчейна прослеживать транзакции и потенциально связывать их с реальными лицами.
«Современные инструменты анализа блокчейна позволяют строить сложные графы транзакций и выявлять паттерны, характерные для конкретных группировок», — объясняет Елена Иванова, специалист по криптовалютной аналитике. «Публикация такого обширного списка адресов позволит значительно расширить наши знания о финансовой экосистеме LockBit и, возможно, других связанных с ней групп».
Более того, логи переговоров с жертвами могут предоставить правоохранительным органам информацию о том, кто платил выкупы, и в каких размерах. Это может потенциально привести к новым расследованиям и арестам не только участников LockBit, но и их сообщников.
С другой стороны, утечка создает определенные риски и для жертв вымогателей. Данные переговоров могут содержать конфиденциальную информацию о компаниях, которые предпочли заплатить выкуп тихо, не раскрывая публично факт атаки. Теперь эта информация может стать достоянием общественности.
«Компании, которые платили выкупы LockBit, теперь могут столкнуться с дополнительными репутационными и регуляторными рисками», — предупреждает Сергей Новиков, юрист в области кибербезопасности. «В некоторых юрисдикциях выплата выкупа киберпреступникам может иметь юридические последствия, особенно если группировка находится под санкциями».
Для правоохранительных органов утечка представляет ценный ресурс в борьбе против вымогательского ПО. Полученные данные могут помочь в отслеживании участников LockBit и их партнеров, а также в блокировке финансовых потоков группировки. Более того, анализ конфигураций атак может помочь в разработке более эффективных защитных мер против будущих атак не только LockBit, но и других вымогателей, использующих схожие техники.
«Эта утечка — настоящая золотая жила для правоохранительных органов и исследователей безопасности», — подчеркивает Волков. «Но самое важное — это сигнал другим вымогательским группам, что даже они не защищены от взлома. В некотором смысле, это демонстрация принципа «кто посеет ветер, пожнет бурю» в мире кибербезопасности».
В ближайшие недели можно ожидать, что аналитики блокчейна и исследователи безопасности будут тщательно анализировать полученные данные, что может привести к новым открытиям о структуре и операциях не только LockBit, но и более широкой экосистемы программ-вымогателей. Этот инцидент может стать переломным моментом в продолжающейся борьбе с одной из наиболее деструктивных киберугроз современности.