قراصنة يخترقون عصابة LockBit، ويسربون ما يقرب من 60 ألف عنوان بيتكوين

تم الكشف عن آلاف عناوين Bitcoin المرتبطة بمدفوعات الفدية التي تتم معالجتها من خلال شبكة LockBit بعد أن اخترق قراصنة قاعدة بيانات الشركات التابعة للمجموعة.

وفقًا لتقرير Bleeping Computer، قام قراصنة مجهولون باختراق البنية التحتية للويب المظلم الخاص بشركة LockBit، وشوهوا لوحات الإعلانات التابعة لها، وشاركوا علنًا ملفًا يعرض بيانات من العمليات الداخلية للمجموعة.

يبدو أن قاعدة بيانات MySQL المسربة تتضمن سنوات من نشاط برامج الفدية، وتكشف عن تفاصيل مرتبطة بنظام إدارة الشركات التابعة لـ LockBit.

ومن بين النتائج الأكثر أهمية كان هناك ما يقرب من 60 ألف عنوان محفظة بيتكوين، والتي يعتقد أنها مرتبطة بمدفوعات الفدية التي قام بها الضحايا.

يمكن أن تساعد المعلومات في تتبع كيفية انتقال أموال الفدية عبر البنية التحتية لشركة LockBit.

تم تأكيد الاختراق أيضًا من قِبل مُشغِّل LockBit مجهول الهوية، كما أشارت محادثة شاركها أحد مستخدمي X. ومع ذلك، أكّد المُشغِّل عدم تسريب أي مفاتيح خاصة.

وتضمنت البيانات المسربة أيضًا سجلات أدوات الفدية التي أنشأتها الشركات التابعة لـ LockBit، وتفاصيل حول كيفية استهداف أنظمة محددة، وأكثر من 4400 رسالة تفاوض خاصة بين المجموعة وضحاياها، في الفترة من ديسمبر 2024 إلى أبريل 2025.

لا يزال من غير المعروف من قام بتنفيذ الاختراق أو كيف تمكن من الوصول إلى أنظمة LockBit الخلفية.

ومع ذلك، لاحظ المحققون أن رسالة التشويه التي تم تركها تتطابق مع رسالة تم استخدامها في خرق حديث لموقع مجموعة برامج الفدية Everest، مما يشير إلى وجود صلة محتملة بين الحادثين.

رسالة تركها مهاجمو LockBit. المصدر: Bleeping Computer

يأتي هذا الاختراق بعد التدمير الشامل للبنية التحتية لشركة LockBit في فبراير 2024 في إطار عملية Cronos، وهي جهد منسق بين مكتب التحقيقات الفيدرالي والوكالة الوطنية لمكافحة الجريمة واليوروبول وجهات أخرى.

خلال المداهمة، صادرت السلطات 34 خادمًا، و1000 مفتاح فك تشفير، والوصول إلى مواقع تسريب LockBit، حيث هددوا بنشر بيانات الضحية المسروقة.

تمكنت العصابة في وقت لاحق من إعادة بناء نفسها واستئناف أنشطتها، لكن هذا التنازل الأخير يزيد من نكساتها ويشوه سمعتها.

ما هي عصابة LockBit ransomware؟

تعد LockBit من بين أكثر شركات برامج الفدية انتشارًا كخدمة (RaaS)، وهي معروفة باستهداف الشركات الكبرى والمستشفيات والبنية التحتية الحيوية.

ومنذ ظهوره في عام 2019، أفادت التقارير أنه ابتز أكثر من 500 مليون دولار من أكثر من 2500 ضحية في 120 دولة.

وتشمل الضحايا التي استهدفتها المجموعة شركة بوينج، ورويال ميل المملكة المتحدة، وبنك آي سي بي سي، وكابيتال هيلث.

يتيح نموذج المجموعة للمنتسبين تنفيذ هجمات باستخدام أدوات LockBit، وتقسيم الفدية مع المطورين.

في ديسمبر/كانون الأول 2024، وجهت السلطات الأمريكية اتهامات إلى روستيسلاف بانيف، وهو مواطن روسي إسرائيلي مزدوج، بتهمة العمل كمطور لمجموعة LockBit ransomware.

وذكرت التقارير أنه حصل على أكثر من 230 ألف دولار من العملات المشفرة مقابل دوره في إنشاء أدوات خبيثة تستخدم في الهجمات.

كما وجهت الولايات المتحدة اتهامات لمواطنين روسيين آخرين، هما آرثر سونغاتوف وإيفان كوندراتييف، بشن هجمات باستخدام برامج الفدية على كيانات أمريكية.

في هذه الأثناء، لا يزال دميتري خوروشيف، المشتبه به في قيادة شركة لوكبيت، طليقًا. وقد رصدت الولايات المتحدة مكافأة قدرها 10 ملايين دولار لمن يدلي بمعلومات تؤدي إلى اعتقاله.

صناعة العملات المشفرة تحت الهجوم

وكما ذكرت Invezz سابقًا، تجاوزت عمليات اختراق العملات المشفرة في الربع الأول وحده 1.6 مليار دولار، مما يجعله أسوأ ربع على الإطلاق بالنسبة للصناعة.

وجاءت غالبية هذه الخسائر من هجومين على البورصات المركزية، وهما Bybit، التي خسرت 1.46 مليار دولار، وPhemex، التي تعرضت للاختراق بمبلغ 69.1 مليون دولار.

في حين أن منصات DeFi كانت مسؤولة عن 6% فقط من خسائر الربع الأول، إلا أن شهر مارس شهد 20 حادثة منفصلة، بما في ذلك الاستغلال على Abracadabra.money وZoth وZkLend، بإجمالي أكثر من 33 مليون دولار.