Η διαβόητη ομάδα ransomware LockBit υπέστη σοβαρή διαρροή δεδομένων, όταν τα affiliate panels στο dark web τροποποιήθηκαν (defacement επίθεση) και αντικαταστάθηκαν με ένα μήνυμα που οδηγούσε σε ένα MySQL database dump.
Όλα τα πάνελ διαχείρισης της ομάδας εμφανίζουν το μήνυμα: «Don’t do crime CRIME IS BAD xoxo from Prague», συνοδευόμενο από έναν σύνδεσμο για τη λήψη ενός αρχείου με το όνομα “paneldb_dump.zip”.
Την ανακάλυψη έκανε πρώτος ο ερευνητής απειλών Rey. Σύμφωνα με την ανάλυσή του, το συγκεκριμένο αρχείο περιλαμβάνει ένα SQL file που φαίνεται να προέρχεται από το MySQL database των affiliate panel της LockBit.
Δείτε επίσης: Νέα παράκαμψη EDR “Bring Your Own Installer” χρησιμοποιείται σε επιθέσεις ransomware
Σύμφωνα με τις λεπτομέρειες που αποκάλυψε το BleepingComputer, το αρχείο περιέχει είκοσι πίνακες. Μερικοί από αυτούς παρέχουν ιδιαίτερα αποκαλυπτικά στοιχεία:
- Ο πίνακας ‘btc_addresses‘ περιέχει σχεδόν 60.000 μοναδικές διευθύνσεις Bitcoin.
- Στον πίνακα ‘builds‘, φαίνονται οι προσαρμοσμένες εκδόσεις ransomware που έχουν δημιουργήσει οι συνεργάτες (affiliates) της ομάδας για κάθε επίθεση. Παρότι περιλαμβάνονται δημόσια κλειδιά, τα ιδιωτικά λείπουν. Σε κάποιες περιπτώσεις εμφανίζονται και τα ονόματα των στοχοποιημένων εταιρειών.
- Ο πίνακας ‘builds_configurations‘ περιλαμβάνει διαμορφώσεις για κάθε έκδοση (π.χ. ποιοι διακομιστές ESXi πρέπει να αγνοούνται ή ποια αρχεία πρέπει να κρυπτογραφηθούν).
- Ιδιαίτερο ενδιαφέρον παρουσιάζει και ο πίνακας «chats», που περιλαμβάνει πάνω από 4.400 συνομιλίες διαπραγμάτευσης ανάμεσα στους εκβιαστές και τα θύματά τους (από τις 19 Δεκεμβρίου έως τις 29 Απριλίου).
- Τέλος, ο πίνακας ‘users‘ απαριθμεί 75 άτομα – διαχειριστές και συνεργάτες – που είχαν πρόσβαση στο σύστημα, ενώ σύμφωνα με τον αναλυτή Michael Gillespie, οι κωδικοί τους ήταν αποθηκευμένοι χωρίς κρυπτογράφηση. Μερικά παραδείγματα αυτών των απλών κωδικών είναι: “Weekendlover69”, “MovingBricks69420” και “Lockbitproud231”.
Ο ερευνητής Rey φέρεται να επικοινώνησε (μέσω της πλατφόρμας Tox) με τον εκπρόσωπο της ransomware ομάδας LockBit, «LockBitSupp». Αυτός φέρεται να επιβεβαίωσε τη διαρροή, αλλά ανέφερε πως δεν εκτέθηκαν ιδιωτικά κλειδιά ούτε υπήρξε απώλεια δεδομένων.
Δεν είναι ακόμα γνωστό ποιος κρύβεται πίσω από την επίθεση και διαρροή δεδομένων της ransomware συμμορίας LockBit. Ωστόσο, το ύφος του μηνύματος που αφέθηκε στα admin panel μοιάζει πολύ με εκείνο που είχε χρησιμοποιηθεί πρόσφατα στην κυβερνοεπίθεση κατά της ομάδας Everest. Αυτή η ομοιότητα μπορεί να αποκαλύπτει κοινό δράστη ή τουλάχιστον κάποια σύνδεση.
Δείτε επίσης: Μείωση ransomware επιθέσεων τον Απρίλιο (+ σημαντικότερα περιστατικά)
Επιπλέον, το phpMyAdmin SQL dump φανερώνει ότι ο διακομιστής έτρεχε την έκδοση PHP 8.1.2 – η οποία είναι γνωστό ότι περιέχει σοβαρή ευπάθεια (CVE-2024-4577) και μπορεί να επιτρέψει σε επιτιθέμενους να εκτελέσουν κακόβουλο κώδικα εξ αποστάσεως.
Τον προηγούμενο χρόνο, μια διεθνής επιχείρηση των αρχών – γνωστή ως Operation Cronos – κατάφερε να πλήξει καίρια το LockBit, προχωρώντας σε κατάσχεση 34 διακομιστών, αντιγράφων, κλεμμένων αρχείων θυμάτων, διευθύνσεων crypto, κλειδιών αποκρυπτογράφησης και της ίδιας της πλατφόρμας συνεργατών της ομάδας.
Αν και η LockBit κατάφερε τότε να επανέλθει και να συνεχίσει τη δράση της, η νέα αυτή παραβίαση έρχεται να κλονίσει ακόμα περισσότερο την ήδη τραυματισμένη αξιοπιστία της.
Παρόμοιες διαρροές δεδομένων έχουν αντιμετωπίσει στο παρελθόν και άλλες ομάδες ransomware, όπως οι Conti, Black Basta και Everest.
Η νέα διαρροή δεδομένων από τα εσωτερικά της LockBit είναι ιδιαίτερα σημαντική για πολλούς λόγους – όχι μόνο τεχνικά, αλλά και συμβολικά.
Καταρχάς, σε τεχνικό επίπεδο:
Η αποκάλυψη εσωτερικών πινάκων, συνομιλιών, κωδικών πρόσβασης, καθώς και εξατομικευμένων εκδόσεων ransomware, προσφέρει σπάνια και πολύτιμη εικόνα για τη λειτουργία μιας από τις πιο ενεργές ομάδες κυβερνοεκβιαστών στον κόσμο.
Σε επίπεδο επιπτώσεων:
Η έκθεση των συνεργατών (και των συνομιλιών τους) μπορεί να φέρει στο φως κρίσιμες πληροφορίες για έρευνες διεθνών αρχών. Επίσης, η παραβίαση της LockBit πιθανόν να πλήξει την εμπιστοσύνη μεταξύ των μελών ή να αποτρέψει νέους συνεργάτες από το να ενταχθούν.
Σε επίπεδο φήμης:
Για μια ομάδα που λειτουργεί με “εταιρικό” μοντέλο RaaS (Ransomware-as-a-Service), η αξιοπιστία είναι κρίσιμη. Αν συνεργάτες φοβούνται ότι τα δεδομένα τους μπορεί να διαρρεύσουν, ίσως προτιμήσουν πιο “ασφαλείς” εναλλακτικές ομάδες.
Δείτε επίσης: Ουκρανός εκδόθηκε στις ΗΠΑ για επιθέσεις με το Nefilim ransomware
Τέλος, το συμβολικό επίπεδο:
Το μήνυμα της παραβίασης – «Μην κάνεις εγκλήματα. Το έγκλημα είναι κακό.» – μαζί με την υπογραφή «Με αγάπη από την Πράγα», παραπέμπει σε μια μορφή ακτιβισμού ή αντικατασκοπείας, περισσότερο από μια απλή επίθεση. Ίσως κάποιοι “white hat hackers” ή ανταγωνιστές προσπαθούν να αποδομήσουν την εγκληματική κοινότητα από μέσα.
Με λίγα λόγια, πρόκειται για ένα σοβαρό πλήγμα με πιθανές μακροπρόθεσμες συνέπειες για τη LockBit – και ενδεχομένως για ολόκληρο το οικοσύστημα των RaaS ομάδων.
Πηγή: www.bleepingcomputer.com
