يتم اختراق عصابة Lockbit Ransomware ، وتسرب 60 ألف عناوين Bitcoin

تم ضرب مجموعة Ransomware Group بواسطة هجوم إلكتروني كشف عملياته الداخلية. تم تسريب ما يقرب من 60،000 عناوين محفظة Bitcoin المرتبطة بأنشطة المجموعة ، إلى جانب الآلاف من اتصالات الضحايا والسجلات التفصيلية من البنية التحتية للواجهة الخلفية.حدث الانتهاك ، الذي لاحظه الباحث في CyberCriminal ، في وقت متأخر من يوم الأربعاء ، في نهاية أبريل 2025. تم تشويه لوحات الويب المظلمة على شبكة الإنترنت من Lockbit ، واستبدلها رسالة تقرأ ، "لا تفعل الجريمة. الجريمة سيئة Xoxo من براغ ، مع رابط لتفتت قاعدة بيانات MySQL بعنوان" Panydb_dumb.zip ". لذا حصلت على pwned ... xd pic.twitter.com/jr94bvj2dm- Rey (@REYXBF) 7 مايو 2025"يشير التحليل الأساسي لقاعدة البيانات إلى أن التفريغ تم إنشاؤه في حوالي 29 أبريل ، مما يشير إلى أن Lockbit تعرض للخطر في ذلك التاريخ أو قبل ذلك في 7 مايو ،" أكد Rey. تعرض البيانات في تفريغ اللوحةوفقًا لـ REY ، مستشهداً بتحليل من منشور الأمن السيبراني BleepingComputer ، كان هناك حوالي 20 جدولًا في قاعدة البيانات التي تم تسريبها ، بما في ذلك جدول BTC_ADDRESS الذي أدرج 59،975 عناوين محفظة Bitcoin الفريدة المتصلة بمدفوعات أدوات السدود في Lockbit.تتضمن البيانات البارزة الأخرى في التسرب جدول "بناء" ، والذي يشرح تفاصيل حمولات Ransomware التي تم إنشاؤها بواسطة الشركات التابعة Lockbit. يتضمن الجدول مفاتيح التشفير العام ، وفي بعض الحالات ، أسماء الشركات المستهدفة. أظهر جدول "Builds_Configurations" الملفات أو الخوادم التابعة لتكوين هجماتها لتجنب أو تشفير ، والعديد من التكتيكات التشغيلية الأخرى المستخدمة في حملات الفدية السابقة.كما هو موضح في طاولة واحدة يطلق عليها "الدردشات" ، كان هناك أكثر من 4400 رسالة تفاوض بين الشركات التابعة لوكيت والضحايا ، التي تمتد من 19 ديسمبر 2024 ، إلى 29 أبريل 2025. pic.twitter.com/gjbtzqg9vm-Ransom-DB (@ransom_db) 8 مايو 2025يعرض Dump أيضًا جدول "المستخدمين" الذي يدرج 75 مسؤولًا وشركات تابعة مع إمكانية الوصول إلى لوحة الواجهة الخلفية للمجموعة. صدمت أمنية الأمان لاكتشاف أن كلمات مرور المستخدم تم تخزينها في نص عادي.ذكر باحث الأمن السيبراني مايكل جيليسبي بعض كلمات المرور المكشوفة ، بما في ذلك "Weekendlover69" و "Moving Bricks69420" و "LockbitProud231". أكد LockBitsupp ، المشغل المعروف لمجموعة Lockbit ، في دردشة توكس مع Rey أن الخرق كان حقيقيًا. ومع ذلك ، أصر المشغل على عدم فقدان مفاتيح خاصة أو بيانات مهمة. استجابة من Lockbitsupp (هذه صورة مترجم): pic.twitter.com/l54g1a5hxz- Rey (@REYXBF) 7 مايو 2025وقال آلون جال ، كبير مسؤولي التكنولوجيا في هدسون روك ، إن البيانات تتضمن أيضًا بناء رانسومواري مخصص وبعض مفاتيح فك التشفير. وفقًا لـ GAL ، إذا تم التحقق منها ، فقد تساعد المفاتيح بعض الضحايا على استعادة بياناتهم دون دفع فدية.استغلال نقاط الضعف الخادمكشف تحليل لتفريغ SQL أن الخادم المتأثر كان يعمل على تشغيل PHP 8.1.2 ، وهو نسخة عرضة لخلة ، أناdentعلى أنها "CVE-2024-4577". يتيح الثغرة الأمنية تنفيذ الكود عن بُعد ، وهو ما يفسر كيف تمكن المهاجمون من التسلل إلى أنظمة الواجهة الخلفية في Lockbit و exfiltrate. يعتقد أخصائيو الأمن أن أسلوب الرسالة البديلة قد يربط بينdent بخرق حديث لموقع إيفرست رانسومواري ، الذي استخدم نفس "الجريمة سيئة". يشير التشابه إلى أن نفس الممثل أو المجموعة قد يكون وراء كل من incident، على الرغم من أنه لم يتم تأكيد أي إسناد واضح.لم يتقدم المتسللون وراء الخرق ، لكن كيفن بومونت ، وهو جماعة أمنية مقرها المملكة المتحدة ، قال إن مجموعة دراجونفورس قد تكون مسؤولة. "شخص ما اخترق Lockbit. سأخمن Dragonforce" ، كتب على Mastodon.وفقًا لـ BBC ، زُعم أن Dragonforce شارك في العديد من الهجمات الإلكترونية على تجار التجزئة في المملكة المتحدة ، بما في ذلك Marks & Spencer و Co-op و Harrods.في عام 2024 ، عملية Cronos ، وهي جهد متعدد الجنسيات بقيادة المملكة المتحدة شمل وكالات إنفاذ القانون من عشر بلدان ، بما في ذلك مكتب التحقيقات الفيدرالي (FBI) أنشطة Lockbit مؤقتًا ، على الرغم من أن المجموعة عادت في النهاية إلى الظهور .وبحسب ما ورد قامت العملية بإسقاط 34 خادمًا ، وصادرت محافظ التشفير ، وكشفت أكثر من 1000 مفتاح فك التشفير. يعتقد إنفاذ القانون أن مشغلي Lockbit في روسيا ، وهو ولاية قضائية يصعب تحقيقها إلى العدالة. يركز عصابات Ransomware على عملياتهم داخل حدود روسيا لأن الاعتقالات المباشرة مستحيلة تقريبًا.سلك الاختلاف الرئيسي يساعد العلامات التجارية المشفرة على اختراق العناوين الرئيسية للسيطرة على العناوين الرئيسية