„Begeht keine Verbrechen, Verbrechen sind schlecht“ – Hack auf Ransomware-Bande LockBit enthüllt 59.975 Bitcoin-Adressen und Tausende von Opferverhandlungen: Bericht

Die Ransomware-Bande LockBit war selbst Opfer eines Datenlecks, bei dem 59.975 Bitcoin-Adressen, öffentliche Schlüssel und 4.442 Verhandlungsnachrichten mit Opfern nach einem kürzlichen Hack offengelegt wurden.

LockBit ist eine berüchtigte Cyberkriminalitätsgruppe, die einen Ransomware-as-a-Service-Betrieb betreibt und Werkzeuge sowie Infrastruktur für Partner entwickelt, die Angriffe durchführen. Wie die meisten Ransomware-Gruppen fordert sie Zahlungen in Kryptowährungen — typischerweise Bitcoin (BTC) oder Monero (XMR) — wobei die Opfer angewiesen werden, Gelder an bestimmte Wallet-Adressen zu senden, um Entschlüsselungsschlüssel zu erhalten oder Datenlecks zu vermeiden. Partner waschen die Erlöse oft mithilfe von Mixern, Cross-Chain-Swaps oder Privacy-Coins, um der Entdeckung zu entgehen.

Die Dark-Web-Partner-Panels von LockBit wurden verunstaltet und durch eine Nachricht ersetzt, die auf einen Datenbank-Dump verlinkte, in der es hieß: "Don't do crime CRIME IS BAD xoxo from Prague", berichtete die Cybersicherheits-Publikation Bleeping Computer.

Erstmals vom Bedrohungsakteur Rey bemerkt, ergab die Analyse der geleakten LockBit-Datenbank von BleepingComputer 20 Tabellen, von denen einige Details enthüllten. Eine Tabelle listet fast 60.000 Bitcoin-Adressen auf, wahrscheinlich eine Mischung aus Adressen, die von den Partnern und der Infrastruktur der Bande verwendet werden, während eine andere Ransomware-Builds zeigt, die mit bestimmten Zielen verknüpft sind. Es gibt auch Konfigurationsdetails für Angriffe, wie welche Server übersprungen oder welche Dateien verschlüsselt werden sollen. Ein Chat-Log enthält über 4.400 Nachrichten zwischen der Ransomware-Operation und den Opfern, und eine Benutzertabelle nennt 75 Administratoren und Partner — mit Passwörtern im Klartext gespeichert, einschließlich Beispielen wie "Weekendlover69" und "Lockbitproud231".

Keine privaten Schlüssel wurden geleakt

Ein LockBit-Operator, bekannt als "LockBitSupp", bestätigte den Vorfall gegenüber Rey und erklärte, dass keine privaten Schlüssel geleakt wurden.

Laut Bleeping Computer scheint die Datenbank um den 29. April herum geleakt worden zu sein, basierend auf dem MySQL-Zeitstempel und dem neuesten Chat-Eintrag. Während unklar ist, wer den Vorfall durchgeführt hat oder wie, stimmt die Verunstaltungsnachricht mit einer überein, die bei einem kürzlichen Angriff auf die Dark-Web-Seite von Everest Ransomware verwendet wurde, was auf eine mögliche Verbindung hindeutet. Der Server lief auch mit PHP 8.1.2, das anfällig für CVE-2024-4577 ist — eine kritische Schwachstelle, die Remote-Code-Ausführung ermöglichen kann, so die Quelle.

Im Februar 2024 zerschlug die Operation Cronos — eine internationale Strafverfolgungsmaßnahme — die Infrastruktur von LockBit, beschlagnahmte 34 Server, gestohlene Daten, Kryptowährungsadressen, 1.000 Entschlüsselungsschlüssel und das Partner-Panel. Obwohl LockBit später wieder aufgebaut und den Betrieb wieder aufgenommen hat, erlitt die Gruppe im Mai letzten Jahres einen weiteren schweren Rückschlag, als die US-Behörden ihren Anführer Dmitry Khoroshev enttarnten und wegen 26 Straftaten anklagten. Ihm wird vorgeworfen, 100 Millionen Dollar aus Lösegeldzahlungen verdient zu haben, und er sieht sich Sanktionen, Vermögenssperren und einem Kopfgeld von 10 Millionen Dollar für seine Verhaftung gegenüber.