• XSS.stack #1 – первый литературный журнал от юзеров форума

LockBit опять взломали

Отслеживать
владимиродин

владимиродин

RAID-массив
Пользователь
Регистрация
28.10.2021
Сообщения
80
Реакции
12
The LockBit ransomware gang has suffered a data breach after its dark web affiliate panels were defaced and replaced with a message linking to a MySQL database dump.
All of the ransomware gang's admin panels now state. "Don't do crime CRIME IS BAD xoxo from Prague," with a link to download a "paneldb_dump.zip."

https://www.bleepingcomputer[.]com/...ware-gang-hacked-victim-negotiations-exposed/
 
В ночь на 8 мая 2025 года инфраструктуру LockBit снова успешно пропентестили (завершающая часть атаки - публичный дейфейс).
База данных, содержащая конфиденциальную информацию, включая переговоры с жертвами, была опубликована прямо на сайте группировки.

Файл: paneldb_dump.zip ~30MB SQL дампа
Дефейс: "Don't do crime. CRIME IS BAD. xoxo from Prague."

lockbit-panel-breached.png


4 442 сообщений с жертвами (декабрь 2024 — апрель 2025), более 59 000 биткойн-адресов, список компаний-жертв, уникальные билды с кастомными конфигами, включая флаги автоудаления, шифруемые расширения и исключения для инфраструктур типа ESXi.

Анализ чатов показывает применение агрессивной тактики давления: угрозы обращением в SEC, разглашением данных в СМИ и атаками на репутацию компаний.

chats-table.png


Атакующие снова продемонстрировали критические провалы в безопасности LockBit: все данные хранились без изоляции, без шифрования, с фиксированной структурой и отсутствием контроля доступа. Это не первый случай, когда эта RaaS-группировка теряет данные и свою внутреннюю кухню - от билдов до внутренних диалогов. У исследователей и конкурентов снова есть доступ к операционной структуре LockBit и не понятно - на самом-то деле - сколько он был.

На данный момент не подтверждено, как взломали, но вероятные варианты:
  • Утечка/слив с внутреннего хостинга (человеческий фактор)
  • Уязвимость в самой панели (PHP + известные CVE)
  • Эксплуатация публичного entrypoint (VPN или C2-инфраструктура)

Сам Локбит вкурсе и уже отреагировал:

locbit-chat.png
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
1746682891825.png


"Хохо" это не ник. Translate Чешский -> Русский. "Xoxo" обычно переводится как "объятия и поцелуи". Это выражение часто используется в письмах и сообщениях, чтобы передать теплые чувства и дружескую привязанность. В данном случае просто похек с любовью из праги.

Либо это отсылка к цитате "йхохо и бытылка рома", хотя там "xoxo"....

p.s.
Локбиту пора открывать багбаунти для своей панели.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MaFio сказал(а):
инфраструктуру LockBit снова успешно пропентестили
Ох уж эти пражские "охуевшие рожи"...
 
weaver сказал(а):
Посмотреть вложение 106822

"Хохо" это не ник. Translate Чешский -> Русский. "Xoxo" обычно переводится как "объятия и поцелуи". Это выражение часто используется в письмах и сообщениях, чтобы передать теплые чувства и дружескую привязанность. В данном случае просто похек с любовью из праги.

Либо это отсылка к цитате "йхохо и бытылка рома", хотя там "xoxo"....

p.s.
Локбиту пора открывать багбаунти для своей панели.
но это не точно https://ctftime.org/team/6991
 
G1fl3x сказал(а):
щас, выгрузил 27МБ дамп, если у тебя 100, можешь перезалить?

Поправил:
  • "в ночь на 8 мая 2025 года";
  • "Файл: paneldb_dump.zip ~30MB SQL дампа"
 
mortar_1111 сказал(а):
Посмотреть вложение 106828 У меня одного сайт не грузит с дб?
Выше перезалили (там ничего критичного). Уязвимость скорее всего была в функционале панели, а не php. Такое бывает когда добавляешь куча всяких полей/функций/инпутов и из за роста и размера кода перестаешь осознавать/контролировать что происходит на твоем сайте
 
Вымогатели грозили всему миру, а сдал их уязвимый PHP.

image

Группировка вымогателей LockBit оказалась в центре громкого инцидента, после того как её даркнет-инфраструктура подверглась масштабному взлому. Неизвестные атакующие дефейснули все админ-панели банды, заменив интерфейс на сообщение «Don't do crime CRIME IS BAD xoxo from Prague» и прикрепив ссылку на скачивание архива с дампом базы данных MySQL.
o37shinauj79mithb7yp5hkrz10tt2a2.png

(@ReyXBF)
Запрещённые знания хакеров — только для своих.
Файл, получивший название «paneldb_dump.zip», содержит SQL-дамп из административной панели LockBit. Архив включает в себя двадцать таблиц, из которых ряд имеет высокую ценность с точки зрения внутренней организации деятельности группировки. Первым на инцидент обратил внимание киберпреступник под псевдонимом Rey, а более глубокий анализ содержимого был проведён изданием bleepingcomputer[.]
Среди наиболее интересных таблиц — btc_addresses, содержащая 59 975 уникальных биткойн-адресов, связанных с операциями банды. Таблица builds включает информацию о конкретных вредоносных сборках, созданных аффилиатами для проведения атак. В каждой записи указаны публичные ключи, а в некоторых случаях — имена атакованных компаний. Хотя приватные ключи в базу не попали, уже этого объёма достаточно, чтобы отследить логику и цели операций.
Таблица builds_configurations раскрывает технические параметры, использовавшиеся при создании шифровальщиков — например, какие серверы ESXi необходимо обходить и какие типы файлов подлежат шифрованию.
Отдельного внимания заслуживает таблица chats, содержащая 4 442 сообщения, которые велись между LockBit и их жертвами с 19 декабря 2024 года по 29 апреля 2025 года. Это фактически представляет собой полную историю переговоров, позволяющую исследовать тональность угроз, суммы выкупов и методы давления.
Таблица users указывает на 75 зарегистрированных пользователей, включая администраторов и аффилиатов, имевших доступ к панели. По данным аналитика Майкла Гиллеспи, все пароли в базе хранились в открытом виде. Некоторые из них — например, «Weekendlover69», «MovingBricks69420» и «Lockbitproud231» — вызвали бурную реакцию в сообществе из-за своей комичности и небрежности в вопросах безопасности.
Базу, судя по времени создания дампа и последней дате в таблице с чатами, выгрузили не позднее 29 апреля 2025 года. Информация подтверждена самим оператором LockBit, известным как LockBitSupp, в переписке в Tox с Rey. Он признал факт взлома, но подчеркнул, что приватные ключи и критически важные данные не утекли.
Точная методика атаки пока не установлена, однако известно, что сервер, на котором размещалась панель, работал на уязвимой версии PHP 8.1.2. Эта версия подвержена уязвимости CVE-2024-4577 , позволяющей выполнить удалённый код на сервере. Учитывая совпадение, вполне вероятно, что именно эта уязвимость была использована для компрометации ресурса.
Дополнительное внимание привлекает сходство дефейс-сообщения с тем, что использовалось ранее при аналогичной атаке на даркнет-ресурсы другой группировки — Everest. Совпадение фраз может свидетельствовать о причастности одних и тех же лиц или как минимум об использовании одних и тех же тактик.
LockBit ранее уже пережила масштабную спецоперацию под кодовым названием Operation Cronos, проведённую в 2024 году. Тогда были конфискованы 34 сервера, служившие для размещения сайтов утечек, зеркал, хранилищ украденных данных, криптовалютных кошельков, а также изъяты около 1 000 дешифраторов и полностью отключена панель для аффилиатов. Несмотря на попытки восстановиться после этого удара, новая компрометация инфраструктуры наносит серьёзный урон и без того пошатнувшейся репутации банды.
Пока рано говорить о полном прекращении деятельности LockBit, но утечка такого масштаба способна лишить группировку доверия аффилиатов и затруднить дальнейшие операции. Подобные публичные сливы ранее обрушили ряды таких группировок, как Conti, Black Basta и Everest, продемонстрировав, что устойчивость вымогателей может оказаться иллюзорной.

Подробнее: https://www.securitylab.ru/news/559128.php
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Сколько раз ещё ему нужно обосраться с подливой, чтобы все остальные поняли, что он х#йло галимое?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх