Кто-то взломал одну из самых известных хакерских групп в мире
- Хакерская группа LockBit сама стала жертвой атаки, в результате которой злоумышленники потеряли часть внутренней инфраструктуры, а их конфиденциальные данные попали в сеть.
- Архив с утечкой содержал 20 таблиц с важной информацией, включая биткоин-адреса, вредоносное ПО, пароли и переговоры с жертвами, что нанесет значительный ущерб группе.
- Оператор LockBit подтвердил факт взлома, но неизвестно, кто именно за этим стоит.
Одна из самых известных хакерских групп в мире, LockBit, сама стала жертвой хакерской атаки. Злоумышленники потеряли часть своей внутренней инфраструктуры, а в сеть попали конфиденциальные данные –от переговоров с жертвами до технической информации об атаках.
Что произошло с LockBit
Хакерская группировка LockBit, известная многочисленными атаками с целью вымогательства выкупа, оказалась по другую сторону кибервойны. Их партнерскую инфраструктуру в даркнете взломали, а вместо панелей управления появилось ироничное сообщение: "Не совершайте преступлений, ПРЕСТУПЛЕНИЕ – ЭТО ПОГАНО, xoxo из Праги". Вместе с этим была опубликована ссылка на архив с утечкой, сообщает 24 Канал со ссылкой на Reuters.
Смотрите также Хакеры "Кибер АТЕШ" атаковали важный ресурс оккупантов в Крыму
Архив содержал дамп базы данных MySQL с партнерской панели сайта LockBit. Первым утечку заметил киберэнтузиаст под псевдонимом Рэй, а впоследствии аналитики подтвердили подлинность содержимого. База включала 20 таблиц с важной информацией.
- В частности, таблица btc_addresses содержит почти 60 тысяч уникальных биткойн-адресов, связанных с операциями группы.
- В таблице builds – конкретные сборки вредоносного ПО, созданные партнерами.
- В builds_configurations – настройки для атак, включая инструкции, какие серверы не шифровать.
- Самой ценной оказалась таблица chats, где зафиксировано 4 442 сообщения о переговорах между злоумышленниками и их жертвами с декабря 2024 по апрель 2025 года.
- Кроме того, в таблице users перечислено 75 администраторов и партнеров LockBit, причем пароли к аккаунтам хранились в открытом виде. Некоторые из них оказались откровенно комичными – “Weekendlover69”, “MovingBricks69420” и “Lockbitproud231”.
Факт взлома подтвердил оператор LockBit, известный под ником LockBitSupp, в общении с исследователем Рэем. По его словам, приватные ключи не утекли, хотя масштабы атаки указывают на серьезную потерю контроля над инфраструктурой. Дата последнего сообщения в таблице чатов совпадает с днем создания дампа – 29 апреля 2025 года.
Кто именно взломал LockBit – пока неизвестно. Однако метод вмешательства очень напоминает взлом даркнет-сайта другой вымогательской группировки – Everest. Это может свидетельствовать об общем происхождении атак или же о появлении нового "охотника на хакеров".
Ранее, в 2024 году, LockBit уже пострадала в результате масштабной операции правоохранителей под кодовым названием "Операция Кронос", в рамках которой было уничтожено 34 сервера, изъято данные жертв, криптокошельки, ключи дешифровки и партнерские платформы. После того группа быстро заявила о своем возвращении в сеть, заявив: "Нас не остановить".
Однако новая утечка значительно глубже – аналитики Rapid7 и Analyst1 считают, что она нанесет группе заметный ущерб. По словам Кристиана Бика из Rapid7, шокирует не только само проникновение, но и тот факт, что LockBit работали даже с микропредприятиями, беря выкупы со всех без разбора. Джон ДиМаджио из Analyst1 считает, что это "замедлит их работу".