Le célèbre gang de ransomware de Lockbit, qui s’attaque toujours aux retombées d’un démontage important d’application de la loi au début de 2024, a été traité un autre coup sévère.
Le 7 mai, les attaquants viodés et dégradés des panels d’affiliation Web de Lockbit, divulguant une base de données MySQL critique et déposent les secrètes opérationnels du groupe. Ce dernier échec de sécurité, tel que rapporté par BleepingCompuler , Configuration exposée pour des informations sensibles: presque 60 000 traites de bitcus, Configuration de l’affichage pour des informations sensibles: Presque 60 000 traites de bitcus, Configurations axées pour des informations sensibles: Presque 60 000 traites de bitcus, Confiltments axés pour des informations sur les informations sensibles: Presque 60 000 Cadrees de bitcus Dethe Les constructions de ransomwares, plus de 4 400 chats de négociation de victimes privées et, dans un étonnant affichage de mauvaise sécurité opérationnelle, des mots de passe en texte en clair pour 75 comptes d’administrateur et d’affiliation
Dark Web affilié des panneaux d’un gang de ransomware de verrouillage. src=”https://winbuzzer.com/wp-content/uploads/2023/10/cybercririme-hackers-hacking-phishing-ransomware-cyberattack.jpg”>
Le message de déménage Non seulement éroder davantage la réputation déjà terni de Lockbit au sein du monde des cybercriminaux, mais fournit également un trésor potentiel de renseignement pour les organismes mondiaux d’application de la loi et les victimes.
L’incident souligne clairement que les opérations de ransomware soi-disant sophistiquées peuvent être défaites par leurs propres lapses de sécurité très sophistiquées, offrant une édition cruciale pour les organisations sur les organisations sur les organisations sur le terrain. Pour les entreprises et les particuliers, cela sert de puissant rappel de l’importance de l’hygiène stricte de la cybersécurité.
L’attaque suit «Operation Cronos», une initiative internationale d’application de la loi en février 2024, qui a conduit à l’identification publique de Dmitry Yuryevich KhoroShev, également connu sous le nom de «Lockbitsupp», en tant que prétend que le coup de randonnée. Khoroshev a ensuite été sanctionné et une récompense de 10 millions de dollars a été offerte pour des informations menant à sa capture. Malgré cette perturbation majeure, Lockbit avait réussi à se regrouper, ce qui rend cette nouvelle violation particulièrement dommageable à leurs tentatives de résurgence.
La nature interconnectée de la cybercriminalité complique encore les efforts pour démanteler leurs réseaux. L’analyse en cours des données de verrouillage fraîchement divulguées fournira sans aucun doute plus de pièces à ce puzzle complexe.
Échec catastrophique OPSEC et a divulgué Intel
La base de données, censée avoir été exfiltrée vers le 29 avril, peint une image accablante des pratiques de sécurité interne de Lockbit. Le chercheur en sécurité Michael Gillespie a souligné l’utilisation amateur de mots de passe en texte clair comme”Weekendlover69″et”Lockbitproud231″. L’exposition de dizaines de milliers d’adresses de Bitcoin pourrait aider considérablement les enquêteurs financiers à suivre les bénéfices illicites de Lockbit.
Les 4 400 messages de négociation des victimes, de décembre 2024 à avril 2025, offrent une preuve directe des méthodes d’extorsion du groupe. De plus, le Malware Research Collective vx-Underground annoncé sur X qu’ils analysent le vidage.
Cela suggère que les données pourraient conduire à l’identification de plus de affiliés. Ajoutant aux malheurs de Lockbit, dans le sillage de la violation, le site de fuite de données du groupe a connu des pannes intermittentes.
Déstaurer l’attaque et les questions persistantes
Alors que l’identité des attaquants et leurs méthodes précises restent non confirmées, la similitude du Message de dépôt à un lien utilisée dans un lien récent sur une récent groupe de Ransomware a été alimentée par un lien ou un lien ou un lien récent sur un lien ou un lien récent sur un lien ou un lien de récent sur un evere Ransomware a un lien ou un lien ou un lien de récent ou un lien ou un lien récent sur un lien ou un lien récent sur un lien ou un lien récent sur un lien de Ransomware Evest Copycat. BleepingComputer a également mis en évidence une vulnérabilité significative: le serveur Lockbit compromis exécutait PHP 8.1.2, une version susceptible de le défaut de code à distance critique CVE-2024-4577 .
L’opérateur de Lockbit, «Lockbitsupp», aurait reconnu la brèche dans une conversation Tox avec l’acteur de menace ‘Rey’ , qui a d’abord repéré la dégradation. Cependant, LockbitsUpp a tenté de minimiser les dommages, affirmant qu’aucune clé privée n’avait été perdue-une déclaration qui semble être contredite par la nature complète de la base de données divulguée.
Un modèle de randonnée de randomware et d’évolutions
Cet incident est la dernière d’une série d’une série de perturbations touchant les principaux opérations de ransomware. Des groupes comme Conti et Black Basta ont déjà souffert de fuites internes et de mesures d’application de la loi. Le paysage de la cybercriminalité est caractérisé par une évolution constante, avec de nouveaux groupes comme VanhelSing émergeant avec des plates-formes RAAS sophistiquées, imitant souvent la tactique de leurs prédécesseurs mais aussi l’apprentissage de leurs erreurs-ou, dans le cas de Lockbit, à l’échec. Utilisation innovante des outils d’intelligence artificielle (IA) pour aider au développement de logiciels malveillants. Cette tendance à tirer parti de l’IA pour améliorer les capacités d’attaque a été confirmée en outre dans un Google Threat Intelligence Group (GTIG) Rapport en janvier.