Lockbit勒索软件帮派被黑客入侵，60k Bitcoin 地址泄漏

勒索软件集团洛克比特（Lockbit）遭到了揭露其内部操作的网络攻击。与该集团活动相关的近60,000个 Bitcoin 钱包地址已泄漏，以及成千上万的受害者通讯和其后端基础设施的详细记录。

该违规行为首先是网络犯罪研究人员雷伊（Rey）周三晚些时候发生的，发生在2025年4月底。洛克比特（Lockbit）的黑暗网络会员面板被污损，取而代之的是一条消息，上面写着“不要犯罪。 

（ Lockbit

- 雷伊（@reyxbf） 2025年5月7日

“数据库的基本分析表明，该转储是在4月29日左右创建的，这表明Lockbit在该日期或之前在5月7日遭到损害，” Rey证实。 

面板转储中的数据暴露

根据雷伊（Rey）的说法，引用了网络安全出版物的分析，泄漏的数据库中大约有20个表，其中包括“ BTC_Addresses”表，其中列出了59,975个独特的 Bitcoin 钱包地址，连接到Lockbit lockbit的勒索软件付款。

泄漏中的其他值得注意的数据包括“构建”表，其中详细介绍了Lockbit分支机构创建的勒索软件有效载荷。该表包括公共加密密钥，在某些情况下是目标公司的名称。 

“ builds_configurations”表显示了哪些文件或服务器分支机构配置了攻击以避免或加密，以及以前的勒索软件活动中使用的其他几种操作策略。

正如一张称为“聊天”的桌子中看到的那样，从2024年12月19日至2025年4月29日，洛克比特人与受害者之间有超过4,400个谈判信息。 

pic.twitter.com/gjbtzqg9vm

- Ransom-DB（@ransom_db） 2025年5月8日

该转储还公开了一个“用户”表，列出了75个Lockbit管理员，并且会分支机构可以访问该组的后端面板。安全侦探震惊地发现用户密码是以明文存储的。

网络安全研究人员迈克尔·吉莱斯皮（Michael Gillespie）提到了一些裸露的密码，包括“ WeekendLover69”，“ MoveBricks69420”和“ LockbitProud231”。 

Lockbit Group的知名运营商Lockbitsupp在与Rey的Tox聊天中证实，违规是真实的。尽管如此，操作员仍坚持认为，尚未丢失私钥或关键数据。 

Lockbitsupp的响应（这是翻译图像）： pic.twitter.com/l54g1a5hxz

- 雷伊（@reyxbf） 2025年5月7日

哈德逊岩（Hudson Rock）首席技术官阿隆·加尔（Alon Gal）表示，数据还包括自定义勒索软件构建和一些解密密钥。根据GAL的说法，如果经过验证，这些钥匙可以帮助一些受害者在不支付赎金的情况下恢复其数据。

利用服务器漏洞

对SQL转储的分析显示，受影响的服务器正在运行PHP 8.1.2，这是一个容易受到缺陷的版本，我dent“ CVE-2024-4577”。该漏洞允许远程代码执行，这说明了攻击者如何能够渗透和渗透Lockbit的后端系统。 

安全专业人员认为，污损消息的风格可能会将INCIdent 与最近违反珠穆朗玛峰勒索软件网站的侵犯联系起来，该网站使用了相同的“犯罪是不好的”措辞。相似性表明，尽管没有明确的归因，但同一参与者或组都可能是在两个Incidents之后。

违规行为背后的黑客没有挺身而出，但是英国的安全服装凯文·博蒙特（Kevin Beaumont）表示，该组织的Dragonforce可能负责。 

他在马斯托登（Mastodon）上写道：“有人砍了洛克比特。我要猜到龙堡。”

据英国广播公司（BBC）称，据称Dragonforce参与了英国零售商的几个网络攻击，包括Marks＆Spencer，合作社和Harrods。

2024年，Cronos行动涉及来自十个国家的执法机构，包括联邦调查局（FBI）临时停止了洛克比特的活动，尽管该组织最终重新浮出水面。

据报道，该操作拆除了34台服务器，没收了加密钱包，并发现了1000多个解密密钥。 

执法部门认为，洛克比特的运营商位于俄罗斯，这一管辖权很难将其绳之以法。勒索软件帮派将其行动集中在俄罗斯的边界内，因为直接逮捕几乎是不可能的。

密码大都会学院：厌倦了市场波动？了解DeFi帮助您建立稳定的被动收入。立即注册