Hakkerit murtautuivat LockBit-jengiin ja vuotivat lähes 60 000 Bitcoin-osoitetta

Tuhansia Bitcoin-osoitteita, jotka oli yhdistetty LockBitin verkon kautta käsiteltyihin lunnasmaksuihin, on paljastunut hakkereiden murtauduttua ryhmän tytäryhtiötietokantaan.

Bleeping Computerin raportin mukaan tuntemattomat hakkerit murtautuivat LockBitin pimeän verkon infrastruktuuriin, turmelivat sen tytäryhtiöiden paneelit ja jakoivat julkisesti tiedoston, joka paljasti tietoja konsernin sisäisistä toiminnoista.

Vuotanut MySQL-tietokanta näyttää sisältävän vuosien kiristyshaittaohjelmien toimintaa, paljastaen yksityiskohtia, jotka liittyvät LockBitin kumppanuusharehallintajärjestelmään.

Merkittävimpiin löydöksiin kuului lähes 60 000 Bitcoin-lompakko-osoitetta, joiden uskotaan liittyvän uhrien maksamiin lunnaisiin.

Tiedot voisivat auttaa jäljittämään, miten lunnasrahat liikkuivat LockBitin infrastruktuurin läpi.

Myös anonyymi LockBit-operaattori vahvisti murron, kuten erään X-käyttäjän jakamasta keskustelusta kävi ilmi. Operaattori kuitenkin vahvisti, ettei yksityisiä avaimia ollut vuotanut.

Vuodettujen tietojen joukossa oli myös tietoja LockBitin tytäryhtiöiden luomista kiristyshaittaohjelmatyökaluista, tietoja siitä, miten tiettyihin järjestelmiin kohdistettiin hyökkäyksiä, sekä yli 4 400 yksityistä neuvotteluviestiä ryhmän ja sen uhrien välillä joulukuun 2024 ja huhtikuun 2025 välisenä aikana.

Vieläkään ei tiedetä, kuka teki tietomurron tai miten he pääsivät käsiksi LockBitin taustajärjestelmiin.

Tutkijat kuitenkin totesivat, että sivuston taakse jätetty häpäisyviesti vastaa Everest-kiristysohjelmaryhmän sivustolle hiljattain tehdyssä murrossa käytettyä viestiä, mikä viittaa mahdolliseen yhteyteen tapausten välillä.

LockBit-hyökkääjien jättämä viesti. Lähde: Bleeping Computer

Tämä tietomurto tapahtui sen jälkeen, kun LockBitin infrastruktuuria suljettiin laajasti helmikuussa 2024 operaatio Cronosin puitteissa. Operaatio Cronos oli FBI:n, NCA:n, Europolin ja muiden tahojen koordinoima operaatio.

Ratsian aikana viranomaiset takavarikoivat 34 palvelinta, 1 000 salausavainta ja pääsyn LockBitin vuotosivustoille, joilla he uhkasivat julkaista uhrin varastetut tiedot.

Jengi onnistui myöhemmin rakentamaan itsensä uudelleen ja jatkamaan toimintaansa, mutta tämä viimeisin kompromissi syventää heidän takaiskujaan ja tahraa entisestään heidän mainetta.

Mikä on LockBit-kiristysohjelmajengi?

LockBit on yksi tuottoisimmista kiristyshaittaohjelmia palveluna (RaaS) tarjoavista yrityksistä, joka tunnetaan suuryrityksiin, sairaaloihin ja kriittiseen infrastruktuuriin kohdistuvista hyökkäyksistään.

Vuonna 2019 ilmaantuneen haavoittuvuuden jälkeen sen kerrotaan kiristäneen yli 500 miljoonaa dollaria yli 2 500 uhrilta 120 maassa.

Ryhmän kohteena ovat olleet muun muassa Boeing, Royal Mail UK, ICBC ja Capital Health.

Ryhmän malli mahdollistaa tytäryhtiöiden hyökkäysten suorittamisen LockBitin työkaluilla ja jakamalla lunnaat kehittäjien kanssa.

Joulukuussa 2024 Yhdysvaltain viranomaiset nostivat syytteet Rostislav Panevia, kaksois-Venäjän ja Israelin kansalaista, vastaan ​​väitetysti työskennellessään LockBit-kiristysohjelmaryhmän kehittäjänä.

Hänen kerrotaan ansainneen yli 230 000 dollaria kryptovaluuttaa roolistaan ​​hyökkäyksissä käytettävien haitallisten työkalujen luomisessa.

Kaksi muuta Venäjän kansalaista, Artur Sungatov ja Ivan Kondratyev, on myös syytettynä Yhdysvalloissa amerikkalaisiin yrityksiin kohdistuneista kiristysohjelmahyökkäyksistä.

Samaan aikaan LockBitin epäilty johtaja Dmitri Horošev on edelleen vapaalla jalalla. Yhdysvallat on asettanut 10 miljoonan dollarin palkkion tiedoista, jotka johtavat hänen pidätykseensä.

Kryptoteollisuus hyökkäyksen kohteena

Kuten Invezz on aiemmin raportoinut, kryptohakkereiden määrä pelkästään ensimmäisellä neljänneksellä ylitti 1,6 miljardia dollaria, mikä tekee siitä alan historian huonoimman neljänneksen.

Suurin osa näistä tappioista johtui kahdesta hyökkäyksestä keskitettyihin pörsseihin: Bybitiin, joka menetti 1,46 miljardia dollaria, ja Phemexiin, joka hakkeroitiin 69,1 miljoonalla dollarilla.

Vaikka DeFi-alustat aiheuttivat vain 6 % ensimmäisen neljänneksen tappioista, maaliskuussa nähtiin silti 20 erillistä tapausta, mukaan lukien Abracadabra.money-, Zoth- ja ZkLend-haittaohjelmiin kohdistuneet hyökkäykset, joiden kokonaisarvo oli yli 33 miljoonaa dollaria.