The notorious LockBit ransomware gang, still grappling with the fallout from a significant law enforcement takedown in early 2024, has been dealt another severe blow.
On May 7, attackers breached and defaced LockBit’s dark web affiliate panels, leaking a critical MySQL database that lays bare the group’s operational secrets. Detta senaste säkerhetsfel, som rapporterats av Bleepingcomputer , exponerad en alarmering av arrayer: Nästan 60 000-adresser, nästan 60.000, Ransomware bygger, över 4 400 privata förhandlingsoffer, och i en fantastisk visning av dålig driftssäkerhet ändrades PlainText-lösenord för 75 administratörer och affiliate-konton.
Dark Web Affiliate Panels of the Lockbit Ransomware Gang förändrades och ersattes med ett meddelande som länkar till en MySQL-databas. src=”https://winbuzzer.com/wp-content/uploads/2023/10/cybercrime-hackers-hacking-phishing-ransomware-cyberattack.jpg”>
defacement message kvar på mörka webbaffiliate paneler av lockbit av The Attackers var en tak. Inte bara eroderar Lockbits redan plåtade rykte inom cyberbrottsundervärlden utan ger också en potentiell skattkamrat av underrättelser för globala brottsbekämpande myndigheter och offer.
Incidenten som är starkt höjdpunkter för att till och med förment förutsatt ransomware-operationer kan undantagas av sina egna egregiösa säkerheter, och är att göra det till och med att de ständigt främjade de ständigt främsta hoten. For businesses and individuals, this serves as a potent reminder of the importance of stringent cybersecurity hygiene.
The attack follows “Operation Cronos”, an international law enforcement initiative in February 2024, which led to the public identification of Dmitry Yuryevich Khoroshev, also known as ‘LockBitSupp,’ as the alleged kingpin of the LockBit ransomware syndicate. Khoroshev sanktionerades därefter och en belöning på 10 miljoner dollar erbjöds för information som ledde till hans fångst. Trots den stora störningen hade Lockbit lyckats omgruppera, vilket gjorde detta nya överträdelse särskilt skadat för sina försök till återupplivning.
Den sammankopplade naturen av cyberbrott komplicerar ytterligare ansträngningar för att demontera sina nätverk. Den pågående analysen av de nyläckta Lockbit-uppgifterna kommer utan tvekan att ge fler bitar till detta komplexa pussel.
Katastrofiska OPSEC-misslyckanden och läckte Intel
Databasen, som tros ha exfiltrerats runt 29 april målar en fördömande bild av låsbitens interna säkerhet. Säkerhetsforskare Michael Gillespie påpekade amatörisk användning av klartext som”Weekendlover69″och”LockbitProud231″. Exponeringen av tiotusentals bitcoin-adresser kan avsevärt hjälpa finansiella utredare i att spåra Lockbits olagliga vinster.
De 4 400 offerförhandlingsmeddelandena, som sträcker sig från december 2024 till april 2025, ger direkt bevis på gruppens utpressningsmetoder. Dessutom har Malware Research Collective vx-underground tillkännagivna på x att de analyserar dumpningen.
Detta antyder att uppgifterna kan leda till identifiering av fler lockbit-affiliates. Tillägg till Lockbits elände, i kölvattnet av överträdelsen, har gruppens primära dataläcksida upplevt intermittenta avbrott.
avslöjar attacken och kvarvarande frågor
medan identiteten för attackerna och deras exakta metoder förblir obekräftad, de avlägsnande meddelandenas likhet till en som används i en ny attack på en ny attack på de ständigt attackerna har en exemplar om en eventuell länk. Bleepingcomputer framhöll också en betydande sårbarhet: den komprometterade Lockbit-servern körde enligt uppgift php 8.1.2, en version mottaglig för den kritiska exekvering av fjärrkod CVE-2024-4577 .
Lockbits operatör,’Lockbitsupp,’erkände enligt uppgift brottet i en tox-konversation med The Threat Actor ‘Rey’ , som först upptäckte defacement. LockbitsUpp försökte emellertid minimera skadan och hävdar att inga privata nycklar förlorades-ett uttalande som verkar motsägas av den omfattande karaktären av den läckta databasen.
Ett mönster av ransomware-borttagningar och utveckling
Denna incident är den senaste i en serie av störningar som påverkar stora rans-operationer. Grupper som Conti och Black Basta har tidigare drabbats av interna läckor och brottsbekämpande åtgärder. The cybercrime landscape is characterized by constant evolution, with new groups like VanHelsing emerging with sophisticated RaaS platforms, often mimicking the tactics of their predecessors but also learning from their mistakes—or, in LockBit’s case, failing to.
The increasing use of AI in cybercrime also presents an evolving challenge, such as in the case of emerging threat actor FunkSec, which relies on Innovativ användning av Artificial Intelligence (AI)-verktyg för att hjälpa till med skadlig programvara. Denna trend att utnyttja AI för att förbättra attackfunktioner bekräftades ytterligare i en Google Threat Intelligence Group (GTIG) Rapport i januari.
