'Jangan melakukan kejahatan, kejahatan itu buruk' — Peretasan pada geng ransomware LockBit mengungkap 59.975 alamat Bitcoin dan ribuan negosiasi korban: laporan

Kelompok ransomware LockBit telah mengalami kebocoran data mereka sendiri, mengungkapkan 59.975 alamat Bitcoin, kunci publik, dan 4.442 pesan negosiasi dengan korban setelah peretasan baru-baru ini.

LockBit adalah kelompok penjahat dunia maya yang terkenal yang menjalankan operasi Ransomware-as-a-Service, mengembangkan alat dan infrastruktur untuk afiliasi yang melakukan serangan. Seperti kebanyakan kelompok ransomware, mereka menuntut pembayaran dalam mata uang kripto — biasanya Bitcoin (BTC) atau Monero (XMR) — dengan korban diinstruksikan untuk mengirim dana ke alamat dompet yang ditentukan untuk menerima kunci dekripsi atau menghindari kebocoran data. Afiliasi sering mencuci hasil dengan menggunakan mixer, pertukaran lintas rantai, atau koin privasi, berusaha menghindari deteksi.

Panel afiliasi web gelap LockBit dirusak dan diganti dengan pesan yang menghubungkan ke dump basis data, yang menyatakan, "Jangan melakukan kejahatan KEJAHATAN ITU BURUK xoxo dari Praha," lapor publikasi keamanan siber Bleeping Computer.

Pertama kali dicatat oleh aktor ancaman, Rey, analisis BleepingComputer terhadap basis data LockBit yang bocor menemukan 20 tabel, dengan beberapa mengungkapkan detail. Satu tabel mencantumkan hampir 60.000 alamat Bitcoin, kemungkinan campuran dari alamat yang digunakan oleh afiliasi dan infrastruktur geng, sementara yang lain menunjukkan build ransomware yang terkait dengan target tertentu. Ada juga detail konfigurasi untuk serangan, seperti server mana yang harus dilewati atau file yang harus dienkripsi. Log obrolan mencakup lebih dari 4.400 pesan antara operasi ransomware dan korban, dan tabel pengguna menyebutkan 75 admin dan afiliasi — dengan kata sandi disimpan dalam teks biasa, termasuk contoh seperti "Weekendlover69" dan "Lockbitproud231."

Tidak ada kunci pribadi yang bocor

Seorang operator LockBit yang dikenal sebagai "LockBitSupp" mengonfirmasi pelanggaran tersebut kepada Rey, menyatakan bahwa tidak ada kunci pribadi yang bocor.

Menurut Bleeping Computer, basis data tampaknya telah dibuang sekitar 29 April, berdasarkan stempel waktu MySQL dan catatan obrolan terbaru. Meskipun tidak jelas siapa yang melakukan pelanggaran atau bagaimana, pesan perusakan cocok dengan yang digunakan dalam serangan baru-baru ini di situs web gelap ransomware Everest, menunjukkan kemungkinan hubungan. Server juga menjalankan PHP 8.1.2, yang rentan terhadap CVE-2024-4577 — cacat kritis yang dapat memungkinkan eksekusi kode jarak jauh, kata outlet tersebut.

Pada Februari 2024, Operasi Cronos — upaya penegakan hukum internasional — membongkar infrastruktur LockBit, menyita 34 server, data yang dicuri, alamat mata uang kripto, 1.000 kunci dekripsi, dan panel afiliasinya. Meskipun LockBit kemudian membangun kembali dan melanjutkan operasi, kelompok tersebut mengalami kemunduran besar lainnya pada Mei tahun lalu, ketika otoritas AS mengungkap dan mendakwa pemimpinnya, Dmitry Khoroshev, atas 26 tuduhan kriminal. Diduga telah memperoleh $100 juta dari pembayaran tebusan, Khoroshev menghadapi sanksi, pembekuan aset, dan hadiah $10 juta dari AS untuk penangkapannya.