Кто-то взломал одну из самых известных хакерских групп в мире

Александр Гайдамашко

Основные тезисы

Хакерская группа LockBit сама стала жертвой атаки, в результате которой злоумышленники потеряли часть внутренней инфраструктуры, а их конфиденциальные данные попали в сеть.
Архив с утечкой содержал 20 таблиц с важной информацией, включая биткоин-адреса, вредоносное ПО, пароли и переговоры с жертвами, что нанесет значительный ущерб группе.
Оператор LockBit подтвердил факт взлома, но неизвестно, кто именно за этим стоит.

Взломали LockBit – одну из самых опасных хакерских групп в мире

Иллюстративное фото / Freepik

Одна из самых известных хакерских групп в мире, LockBit, сама стала жертвой хакерской атаки. Злоумышленники потеряли часть своей внутренней инфраструктуры, а в сеть попали конфиденциальные данные –от переговоров с жертвами до технической информации об атаках.

Что произошло с LockBit

Хакерская группировка LockBit, известная многочисленными атаками с целью вымогательства выкупа, оказалась по другую сторону кибервойны. Их партнерскую инфраструктуру в даркнете взломали, а вместо панелей управления появилось ироничное сообщение: "Не совершайте преступлений, ПРЕСТУПЛЕНИЕ – ЭТО ПОГАНО, xoxo из Праги". Вместе с этим была опубликована ссылка на архив с утечкой, сообщает 24 Канал со ссылкой на Reuters.

Архив содержал дамп базы данных MySQL с партнерской панели сайта LockBit. Первым утечку заметил киберэнтузиаст под псевдонимом Рэй, а впоследствии аналитики подтвердили подлинность содержимого. База включала 20 таблиц с важной информацией.

В частности, таблица btc_addresses содержит почти 60 тысяч уникальных биткойн-адресов, связанных с операциями группы.
В таблице builds – конкретные сборки вредоносного ПО, созданные партнерами.
В builds_configurations – настройки для атак, включая инструкции, какие серверы не шифровать.
Самой ценной оказалась таблица chats, где зафиксировано 4 442 сообщения о переговорах между злоумышленниками и их жертвами с декабря 2024 по апрель 2025 года.
Кроме того, в таблице users перечислено 75 администраторов и партнеров LockBit, причем пароли к аккаунтам хранились в открытом виде. Некоторые из них оказались откровенно комичными – “Weekendlover69”, “MovingBricks69420” и “Lockbitproud231”.

Факт взлома подтвердил оператор LockBit, известный под ником LockBitSupp, в общении с исследователем Рэем. По его словам, приватные ключи не утекли, хотя масштабы атаки указывают на серьезную потерю контроля над инфраструктурой. Дата последнего сообщения в таблице чатов совпадает с днем создания дампа – 29 апреля 2025 года.

Кто именно взломал LockBit – пока неизвестно. Однако метод вмешательства очень напоминает взлом даркнет-сайта другой вымогательской группировки – Everest. Это может свидетельствовать об общем происхождении атак или же о появлении нового "охотника на хакеров".

Ранее, в 2024 году, LockBit уже пострадала в результате масштабной операции правоохранителей под кодовым названием "Операция Кронос", в рамках которой было уничтожено 34 сервера, изъято данные жертв, криптокошельки, ключи дешифровки и партнерские платформы. После того группа быстро заявила о своем возвращении в сеть, заявив: "Нас не остановить".

Однако новая утечка значительно глубже – аналитики Rapid7 и Analyst1 считают, что она нанесет группе заметный ущерб. По словам Кристиана Бика из Rapid7, шокирует не только само проникновение, но и тот факт, что LockBit работали даже с микропредприятиями, беря выкупы со всех без разбора. Джон ДиМаджио из Analyst1 считает, что это "замедлит их работу".