BTC118,271.30 USD▲ 0.06%
LTC114.77 USD▲ 0.07%
XRP3.21 USD▲ 0.66%
DOGE0.2394 USD▲ 0.11%
ETH3,775.45 USD▼ -0.06%
ETC23.10 USD▲ 0.04%
BCH568.78 USD▲ 0.32%
BNB795.51 USD▲ 0.06%
TRX0.3217 USD▲ 0.28%
SOL186.93 USD▲ 0.25%
KAS0.0998 USD▲ 0.62%
BTC118,271.30 USD▲ 0.06%
LTC114.77 USD▲ 0.07%
XRP3.21 USD▲ 0.66%
DOGE0.2394 USD▲ 0.11%
ETH3,775.45 USD▼ -0.06%
ETC23.10 USD▲ 0.04%
BCH568.78 USD▲ 0.32%
BNB795.51 USD▲ 0.06%
TRX0.3217 USD▲ 0.28%
SOL186.93 USD▲ 0.25%
KAS0.0998 USD▲ 0.62%

Хакеры взломали LockBit и опубликовали данные 60 000 биткоин-адресов

Беспрецедентная утечка данных раскрывает финансовую инфраструктуру одной из крупнейших вымогательских группировок

Хакеры совершили успешную атаку на инфраструктуру печально известной вымогательской группы LockBit, в результате чего в публичный доступ попала обширная база данных, содержащая 59 975 биткоин-адресов, 4442 переговорных сессии с жертвами и конфигурации атак. Об этом сообщает издание Bleeping Computer. На теневых форумах группы появилось сообщение от взломщиков: «Не занимайтесь преступлениями. ПРЕСТУПЛЕНИЕ — ЭТО ПЛОХО xoxo из Праги». Администратор и разработчик LockBit Дмитрий Хорошев, известный под ником LockBitSupp, подтвердил факт взлома, но утверждает, что приватные ключи кошельков не были скомпрометированы. Этот инцидент может иметь серьезные последствия для операционной деятельности группировки и представляет значительный интерес для правоохранительных органов по всему миру.

Масштаб утечки: что получили хакеры и мировое сообщество

По данным исследователя, известного под ником Rey, масштаб утечки впечатляет и включает в себя несколько критических компонентов инфраструктуры LockBit. В первую очередь, это таблицы с биткоин-кошельками, которые, вероятно, принадлежат аффилированным лицам и используются в инфраструктуре группировки. Также были раскрыты детальные настройки для проведения атак, включая списки серверов и файлов, подлежащих шифрованию.

Особую ценность для исследователей и правоохранительных органов представляют логи чатов с требованиями выкупа, которые могут содержать детали переговоров с жертвами и информацию о суммах выкупа. Кроме того, были опубликованы данные 75 администраторов и партнеров LockBit, включая их пароли, хранившиеся в открытом виде.

«Эта утечка предоставляет беспрецедентный взгляд на внутреннюю работу одной из самых опасных вымогательских группировок современности», — комментирует Александр Петров, эксперт по кибербезопасности и анализу вредоносного ПО. «Особенно ценны биткоин-адреса, которые могут помочь отследить финансовые потоки группировки и потенциально идентифицировать участников».

Анализ, проведенный специалистами Bleeping Computer, показал, что утечка произошла 29 апреля. Серверы группы использовали уязвимую версию PHP 8.1.2, что, вероятно, и стало ключевым фактором, способствовавшим успешной атаке. Специалисты отмечают, что подпись злоумышленников совпадает со взломом даркнет-сайта Everest, произошедшим также в апреле, что может указывать на связь между этими инцидентами.

«Использование устаревшей и уязвимой версии PHP для критически важной инфраструктуры — это серьезная ошибка, которая подчеркивает, что даже опытные киберпреступники могут пренебрегать базовыми принципами безопасности», — отмечает Мария Соколова, специалист по компьютерной криминалистике. «Эта халатность предоставила возможность для белых хакеров или спецслужб проникнуть в их системы».

LockBit под ударом: история и контекст кибератаки

LockBit считается одной из наиболее опасных и активных вымогательских группировок последних лет. Группа использует модель Ransomware-as-a-Service (RaaS), предоставляя свое вредоносное ПО партнерам, которые проводят атаки и делятся полученными выкупами с создателями программы. Этот подход позволил LockBit значительно расширить масштаб своих операций и стать одной из доминирующих сил на рынке программ-вымогателей.

Нынешний инцидент — не первая серьезная атака на инфраструктуру LockBit. В феврале 2024 года Национальное агентство по борьбе с преступностью Великобритании (NCA) совместно с международными партнерами частично захватило инфраструктуру шифровальщика и арестовало 200 криптокошельков, связанных с группировкой. Эта операция, получившая название «Кронос», была значительным ударом по операционным возможностям LockBit, но группа быстро восстановилась.

«LockBit демонстрирует необычайную устойчивость к правоохранительным операциям», — объясняет Дмитрий Волков, директор по исследованиям в области киберпреступности. «После февральской операции многие ожидали, что группа исчезнет, как это произошло с REvil и другими вымогателями после аналогичных операций. Однако LockBit быстро восстановил свою инфраструктуру и продолжил атаки».

Недавний взлом, однако, может оказаться более разрушительным для операционной безопасности группы. Если в феврале правоохранительные органы атаковали в основном техническую инфраструктуру, то нынешняя утечка раскрывает личные данные участников и финансовую систему группировки.

Особенно интересен факт, что атакующие оставили сообщение «xoxo из Праги», что может указывать на чешский след в атаке. Однако эксперты предупреждают, что такие указания на географическое происхождение часто используются для дезинформации и отвлечения внимания.

Последствия для криптовалютного рынка и правоохранительных органов

Публикация почти 60 000 биткоин-адресов, связанных с LockBit, открывает новые возможности для отслеживания финансовых потоков вымогательской группы. Хотя администратор LockBitSupp утверждает, что приватные ключи не были скомпрометированы, сама идентификация адресов позволяет аналитикам блокчейна прослеживать транзакции и потенциально связывать их с реальными лицами.

«Современные инструменты анализа блокчейна позволяют строить сложные графы транзакций и выявлять паттерны, характерные для конкретных группировок», — объясняет Елена Иванова, специалист по криптовалютной аналитике. «Публикация такого обширного списка адресов позволит значительно расширить наши знания о финансовой экосистеме LockBit и, возможно, других связанных с ней групп».

Более того, логи переговоров с жертвами могут предоставить правоохранительным органам информацию о том, кто платил выкупы, и в каких размерах. Это может потенциально привести к новым расследованиям и арестам не только участников LockBit, но и их сообщников.

С другой стороны, утечка создает определенные риски и для жертв вымогателей. Данные переговоров могут содержать конфиденциальную информацию о компаниях, которые предпочли заплатить выкуп тихо, не раскрывая публично факт атаки. Теперь эта информация может стать достоянием общественности.

«Компании, которые платили выкупы LockBit, теперь могут столкнуться с дополнительными репутационными и регуляторными рисками», — предупреждает Сергей Новиков, юрист в области кибербезопасности. «В некоторых юрисдикциях выплата выкупа киберпреступникам может иметь юридические последствия, особенно если группировка находится под санкциями».

Для правоохранительных органов утечка представляет ценный ресурс в борьбе против вымогательского ПО. Полученные данные могут помочь в отслеживании участников LockBit и их партнеров, а также в блокировке финансовых потоков группировки. Более того, анализ конфигураций атак может помочь в разработке более эффективных защитных мер против будущих атак не только LockBit, но и других вымогателей, использующих схожие техники.

«Эта утечка — настоящая золотая жила для правоохранительных органов и исследователей безопасности», — подчеркивает Волков. «Но самое важное — это сигнал другим вымогательским группам, что даже они не защищены от взлома. В некотором смысле, это демонстрация принципа «кто посеет ветер, пожнет бурю» в мире кибербезопасности».

В ближайшие недели можно ожидать, что аналитики блокчейна и исследователи безопасности будут тщательно анализировать полученные данные, что может привести к новым открытиям о структуре и операциях не только LockBit, но и более широкой экосистемы программ-вымогателей. Этот инцидент может стать переломным моментом в продолжающейся борьбе с одной из наиболее деструктивных киберугроз современности.

Последние новости