Lockbit勒索軟件幫派被黑客入侵，60k Bitcoin 地址泄漏

勒索軟件集團洛克比特（Lockbit）遭到了揭露其內部操作的網絡攻擊。與該集團活動相關的近60,000個 Bitcoin 錢包地址已泄漏，以及成千上萬的受害者通訊和其後端基礎設施的詳細記錄。

該違規行爲首先是網絡犯罪研究人員雷伊（Rey）週三晚些時候發生的，發生在2025年4月底。洛克比特（Lockbit）的黑暗網絡會員面板被污損，取而代之的是一條消息，上面寫着“不要犯罪。 

（ Lockbit

- 雷伊（@reyxbf） 2025年5月7日

“數據庫的基本分析表明，該轉儲是在4月29日左右創建的，這表明Lockbit在該日期或之前在5月7日遭到損害，” Rey證實。 

面板轉儲中的數據暴露

根據雷伊（Rey）的說法，引用了網絡安全出版物的分析，泄漏的數據庫中大約有20個表，其中包括“ BTC_Addresses”表，其中列出了59,975個獨特的 Bitcoin 錢包地址，連接到Lockbit lockbit的勒索軟件付款。

泄漏中的其他值得注意的數據包括“構建”表，其中詳細介紹了Lockbit分支機構創建的勒索軟件有效載荷。該表包括公共加密密鑰，在某些情況下是目標公司的名稱。 

“ builds_configurations”表顯示了哪些文件或服務器分支機構配置了攻擊以避免或加密，以及以前的勒索軟件活動中使用的其他幾種操作策略。

正如一張稱爲“聊天”的桌子中看到的那樣，從2024年12月19日至2025年4月29日，洛克比特人與受害者之間有超過4,400個談判信息。 

pic.twitter.com/gjbtzqg9vm

- Ransom-DB（@ransom_db） 2025年5月8日

該轉儲還公開了一個“用戶”表，列出了75個Lockbit管理員，並且會分支機構可以訪問該組的後端面板。安全偵探震驚地發現用戶密碼是以明文存儲的。

網絡安全研究人員邁克爾·吉萊斯皮（Michael Gillespie）提到了一些裸露的密碼，包括“ WeekendLover69”，“ MoveBricks69420”和“ LockbitProud231”。 

Lockbit Group的知名運營商Lockbitsupp在與Rey的Tox聊天中證實，違規是真實的。儘管如此，操作員仍堅持認爲，尚未丟失私鑰或關鍵數據。 

Lockbitsupp的響應（這是翻譯圖像）： pic.twitter.com/l54g1a5hxz

- 雷伊（@reyxbf） 2025年5月7日

哈德遜巖（Hudson Rock）首席技術官阿隆·加爾（Alon Gal）表示，數據還包括自定義勒索軟件構建和一些解密密鑰。根據GAL的說法，如果經過驗證，這些鑰匙可以幫助一些受害者在不支付贖金的情況下恢復其數據。

利用服務器漏洞

對SQL轉儲的分析顯示，受影響的服務器正在運行PHP 8.1.2，這是一個容易受到缺陷的版本，我dent“ CVE-2024-4577”。該漏洞允許遠程代碼執行，這說明了攻擊者如何能夠滲透和滲透Lockbit的後端系統。 

安全專業人員認爲，污損消息的風格可能會將INCIdent 與最近違反珠穆朗瑪峯勒索軟件網站的侵犯聯繫起來，該網站使用了相同的“犯罪是不好的”措辭。相似性表明，儘管沒有明確的歸因，但同一參與者或組都可能是在兩個Incidents之後。

違規行爲背後的黑客沒有挺身而出，但是英國的安全服裝凱文·博蒙特（Kevin Beaumont）表示，該組織的Dragonforce可能負責。 

他在馬斯托登（Mastodon）上寫道：“有人砍了洛克比特。我要猜到龍堡。”

據英國廣播公司（BBC）稱，據稱Dragonforce參與了英國零售商的幾個網絡攻擊，包括Marks＆Spencer，合作社和Harrods。

2024年，Cronos行動涉及來自十個國家的執法機構，包括聯邦調查局（FBI）臨時停止了洛克比特的活動，儘管該組織最終重新浮出水面。

據報道，該操作拆除了34臺服務器，沒收了加密錢包，並發現了1000多個解密密鑰。 

執法部門認爲，洛克比特的運營商位於俄羅斯，這一管轄權很難將其繩之以法。勒索軟件幫派將其行動集中在俄羅斯的邊界內，因爲直接逮捕幾乎是不可能的。

密碼大都會學院：厭倦了市場波動？瞭解DeFi幫助您建立穩定的被動收入。立即註冊