勒索软件集团洛克比特（Lockbit）遭到了揭露其内部操作的网络攻击。与小组活动相关的近60,000个比特币钱包地址以及数千次受害者通讯和后端基础设施的详细记录。

该违规行为首先是网络犯罪研究人员REY周三晚些时候发生的，发生在2025年4月底。洛克比特黑暗网络会员面板被污损，取而代之的是一条消息，上面写着“不要做犯罪。 

所以洛克比特刚开始了……XDpic.twitter.com/Jr94BVJ2DM

- 国王（@reyxbf）2025年5月7日

“数据库的基本分析表明，该转储是在4月29日左右创建的，这表明Lockbit在该日期或之前在5月7日遭到损害，” Rey证实。 

面板转储中的数据暴露

根据雷伊（Rey）的说法，引用了网络安全出版物的分析，泄漏的数据库中大约有20个表，其中包括一个“ BTC_ADDRESSES”表，其中列出了59,975个独特的比特币钱包地址，连接到Lockbit lansomware lansomware Ransomware付款。

泄漏中的其他值得注意的数据包括一个“构建”表，其中详细介绍了Lockbit分支机构创建的勒索软件有效载荷。该表包括公共加密密钥，在某些情况下是目标公司的名称。 

“ builds_configurations”表显示了哪些文件或服务器分支机构配置了攻击以避免或加密，以及以前的勒索软件活动中使用的其他几种操作策略。

从一张称为“聊天”的桌子中看到的那样，从2024年12月19日至2025年4月29日，洛克比特人和受害者之间有超过4,400个谈判信息。 

pic.twitter.com/gjbtzQg9VM

- Ransom-DB（@ransom_db）2025年5月8日

转储还公开了一个“用户”表列出75个锁定管理员并有访问小组后端面板的分支机构。安全侦探震惊地发现用户密码是以明文存储的。 

网络安全研究人员迈克尔·吉莱斯皮（Michael Gillespie）提到了一些裸露的密码，包括“ WeekendLover69”，“ MoveBricks69420”和“ LockbitProud231”。 

Lockbit Group的知名运营商Lockbitsupp在与Rey的Tox聊天中证实，违规是真实的。尽管如此，操作员仍坚持认为，尚未丢失私钥或关键数据。 

Lockbitsupp的响应（这是翻译图像）：pic.twitter.com/l54g1A5hXz

- 国王（@reyxbf）2025年5月7日

哈德逊岩（Hudson Rock）首席技术官阿隆·加尔（Alon Gal）表示，数据还包括自定义勒索软件构建和一些解密密钥。根据GAL的说法，如果经过验证，这些钥匙可以帮助一些受害者在不支付赎金的情况下恢复其数据。

利用服务器漏洞

对SQL转储的分析显示，受影响的服务器运行了PHP 8.1.2，这是一个容易受到“ CVE-2024-4577”漏洞的版本。该漏洞允许远程代码执行，这说明了攻击者如何能够渗透和渗透锁定锁定型后端系统。 

安全专业人员认为，污损消息的风格可能会将事件与最近违反珠穆朗玛峰勒索软件网站的违反，该网站使用相同的“犯罪是不好的”措辞。相似性表明，尽管没有明确的归因，但同一演员或群体可能是两个事件的背后。

违规行为背后的黑客没有挺身而出，但是英国的安全服装凯文·博蒙特（Kevin Beaumont）表示，该组织的Dragonforce可能负责。 

他在马斯托登（Mastodon）上写道：“有人砍了洛克比。

据英国广播公司（BBC）称，据称Dragonforce参与了英国零售商的几个网络攻击，包括Marks＆Spencer，合作社和Harrods。

在2024年，Cronos行动这是英国领导的跨国努力，涉及来自十个国家的执法机构，包括联邦调查局（FBI）暂时停止了洛克蒂特活动，尽管该组织最终最终重新浮出水面.

据报道，该操作拆除了34台服务器，没收了加密钱包，并发现了1000多个解密密钥。 

执法部门认为，洛克比特运营商位于俄罗斯，这是一个很难将其绳之以法的管辖权。勒索软件帮派将其行动集中在俄罗斯边界内，因为直接逮捕几乎是不可能的。

密码大都会学院：厌倦了市场波动？了解DEFI如何帮助您建立稳定的被动收入。立即注册