Хакеры стали жертвами кражи конфиденциальных данных

Кража конфиденциальных данных зафиксирована у группировки LockBit. Хакеры стали жертвами кражи конфиденциальных данных в начале мая. Утечка информации включает сведения о вредоносном ПО и переписку злоумышленников с жертвами. Эта кража конфиденциальных данных стала вторым крупным ударом по группировке после операции Cronos.

Ряд исследователей безопасности в среду, 7 мая, заметили, что сайт хакерской группировки LockBit в дарквебе подвергся дефейсу. Вместо списка организаций, которые стали жертвами взломов, на сайте было размещено следующее сообщение: «Не совершайте преступления. ПРЕСТУПЛЕНИЯ — ЭТО ПЛОХО, хохо из Праги», а также ссылка на zip-архив.

Согласно исследованию, которое провела американская фирма Qualys, архив, в частности, включает файл SQL-базы, полученной с панели управления, аффилированной с LockBit. Исследователи нашли в этом файле большой объем внутренних данных об операциях типа «вредоносное ПО как услуга» (ransomware-as-a-service, RaaS), включая почти 60 тыс. адресов Bitcoin-кошельков и более 4000 копий чатов с представителями организаций-жертв в период с 19 декабря 2024 г. по 29 апреля 2025 г.

Специалисты Qualys также отметили, что в файле есть информация о более чем 70 администраторах и лицах, связанных с группировкой LockBit. Но в утекшем архиве не оказалось дешифраторов или закрытых ключей.

Неясно, кто стоит за атакой на LoclBit. Журналисты портала Bleeping Computer заметили, что сообщение похожего содержания было оставлено на сайте группировки Everest, когда он был взломан в прошлом месяце.

Взлом ресурса в дарквебе и утечка данных знаменуют собой продолжение череды неудач в жизни LockBit, которая когда-то была самой плодотворной и известной группировкой по направлению RaaS в ландшафте угроз. Серьезный удар по этой кибербанде был нанесен в начале 2024 г., когда в ходе операции Cronos полиция захватила ресурсы LockBit.

В 2024 году LockBit предпринимала попытки вернуть утраченную позицию, но они провалились, утверждают эксперты Trend Micro и ряда других компаний в сфере кибербезопасности. Более того, на поздних этапах операции Cronos были арестованый несколько членов группировки.

Похищенный неизвестными SQL-файл дает представление о деталях операций и географии атак LockBit. Так, согласно публикации LeMagIT, 35,5% жертв группировки находятся в Азиатско-Тихоокеанском регионе, в то время как только 10,8% пострадавших представляют Северную Америку.

Анализ LeMagIT показал, что только несколько филиалов LockBit были активны с декабря 2024 года. Это говорит о том, что положение хакерского объединения значительно ухудшилось после операции Cronos. Также исследователи выяснили, что средний размер выкуп, который хакеры требовали в последние пять месяцев, составлял 20 тыс. долларов США — эта сумма далека от восьмизначных цифр, которые фигурировали в ходе атак LockBit на такие крупные компании, как Royal Mail и TSMC. Как уточнили в компании Qualys, суммы выкупа варьировались от 4000 долларов при атаках на небольшие компании до 150 тыс. долларов при взломах довольно крупных организаций, включая шифрование и кражу данных. Кроме того, как отмечают исследователи Qualys, иногда злоумышленники из LockBit предлагали скидку в размере 20%, если жертвы были готовы внести платеж в криптовалюте Monero, а не в биткойнах.

Источник: Dark Reading