LockBit zhakowany, dane wyciekły. Znowu się odrodzi?

Nie po raz pierwszy LockBit przestaje normalnie funkcjonować. W 2024 roku witryny cyberprzestępców były dwukrotnie przejmowane przez zachodnie służby, co opisywaliśmy na naszym portalu. Warto przy tym dodać, że ofiarą cyberprzestępców padały również podmioty z Polski, m.in. MGOPS w Sędziszowie Małopolskim.

Należy wspomnieć, że wówczas w działania mające na celu zwalczanie grupy zaangażowane było Centralne Biuro Zwalczania Cyberprzestępczości. „LockBit uznawany jest za najbardziej rozpowszechnione i szkodliwe oprogramowanie ransomware na świecie, powodujące szkody o wartości miliardów euro” – stwierdzono w komunikacie CBZC dotczyącym Operacji Cronos.

„Przestępstwa są złe. Buziaki z Pragi”

W artykule BleepingComputer możemy przeczytać, że na panelach administracyjnych LockBita zamieszczono komunikat o treści: „Don’t do crime CRIME IS BAD xoxo from Prague”, co można tłumaczyć jako „Nie róbcie przestępstw PRZESTĘPSTWA SĄ ZŁE buziaki z Pragi”.

Oprócz tego dołączono link do pobrania archiwum, które było zrzutem bazy danych, pochodzącej z infrastruktury grupy cyberprzestępców.

Co ciekawe, identyczny komunikat zawarto na przejętej witrynie grupy Everest, co wówczas opisywał TechCrunch. Obecnie nie wiadomo kim jest osoba, która dokonała defacementu (zmiany zawartości strony) oraz czy faktycznie ma jakiekolwiek powiązania z Pragą.

Wyciek danych z LockBit

Według BleepingComputer, opublikowane archiwum zawierało m.in.:

• niecałe 60 tys. unikalnych adresów portfeli Bitcoina;
• 4442 wiadomości podczas negocjacji ofiar ataków z cyberprzestępcami;
• listę 75 administratorów i partnerów/współpracowników (ang. affilaites).

Potwierdzenie incydentu

Rey, znana osoba w świecie cyberprzestępczości, rozmawiała z LockBitSuppem - Dmitrym Khoroshevem, liderem grupy. Stwierdził, że incydent dotyczy tylko panelu do automatycznej rejestracji oraz nie wpłynęło to na możliwość odszyfrowywania danych przez zaatakowane organizacje. Potwierdził, że adresy Bitcoina oraz czaty zostały wykradzione.

10 maja LockBitSupp na swoim kanale na Telegramie przekazał, że „znalazł lukę w kodzie źródłowym” oraz jest w trakcie konfigurowania nowego serwera. Wygląda na to, że nie kłamał – witryna, która była przejęta przez anonimową osobę, obecnie wygląda następująco:

To trudna walka

Walka z cyberprzestępczością jest trudna, ale ma faktyczne owoce, co można zobaczyć na przykładzie zatrzymań dokonywanych np. przez Centralne Biuro Zwalczania Cyberprzestępczości. LockBit pojawiał się ponownie po udanych akcjach służb, lecz to nie znaczy, że walka z nim była nieskuteczna lub bezcelowa.

„Jest za wcześnie, aby stwierdzić, czy ten kolejny cios w reputację będzie ostatecznym gwoździem do trumny dla gangu ransomware” – stwierdził BleepingComputer.

Ciekawym wątkiem pozostaje tajemnicza postać, mająca rzekomo pochodzić ze stolicy Czech. Obecnie nie wiadomo kto stoi za podmienianiem zawartości stron.

Szczegółową analizę incydentu opracowało SlowMist.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].