Около 60 000 Bitcoin-адресов, связанных с инфраструктурой ransomware-группировки LockBit, были опубликованы в сеть после взлома панели партнёров в даркнете.
Утечка включала дамп базы данных MySQL, опубликованный в открытом доступе. Она содержала крипто-информацию, которая может помочь аналитикам блокчейна отследить незаконные финансовые потоки группировки.
Ransomware — это тип вредоносного ПО, используемого злоумышленниками. Он блокирует файлы или компьютерные системы цели, делая их недоступными. Злоумышленники обычно требуют выкуп, часто в цифровых активах, таких как Bitcoin (BTC), в обмен на ключ дешифрования для разблокировки файлов.
LockBit — одна из самых печально известных ransomware-группировок. В феврале 2024 года 10 стран запустили совместную операцию по пресечению деятельности группировки, заявив, что организация нанесла ущерб на миллиарды долларов ключевой инфраструктуре.
Утечки приватных ключей Bitcoin не произошло
Несмотря на утечку около 60 000 Bitcoin-кошельков, приватные ключи не были скомпрометированы. Один из пользователей X поделился перепиской с оператором LockBit, подтверждающей взлом. Однако представитель LockBit заявил, что приватные ключи или данные не были утеряны.
Несмотря на это, аналитики Bleeping Computer заявили, что база данных содержала 20 таблиц, включая таблицу “builds”. Она содержала отдельные сборки ransomware, созданные партнёрами организации. Данные также идентифицировали некоторые из компаний-мишеней для этих сборок.
Кроме того, в утечке присутствовала таблица “chats”. Эта таблица содержала более 4400 сообщений о переговорах между жертвами и ransomware-организацией.
Взлом LockBit связан со взломом Everest ransomware
Неясно, кто стоит за взломом и как злоумышленникам удалось получить доступ к операциям LockBit, но аналитики Bleeping Computer отметили, что сообщение, использованное во взломе Everest ransomware, совпадает с тем, что было использовано в LockBit. Аналитики предполагают, что между этими двумя инцидентами может быть связь.
Взлом подчеркнул роль криптовалют в экономике ransomware. Каждой жертве обычно назначается адрес для оплаты выкупа, что позволяет партнёрам отслеживать платежи, одновременно пытаясь скрыть связь со своими основными кошельками.
Публикация адресов позволяет правоохранительным органам и исследователям блокчейна отслеживать закономерности и потенциально связывать прошлые выплаты выкупа с известными кошельками.
