קבוצת ההאקרים LockBit נפרצה: פרטי גישה, תקיפות ומידע מוצפן הודלפו
קובץ MySQL שהופץ לאחר פריצה למערכת הניהול של LockBit חשף מידע מבצעי רגיש של קבוצת ההאקרים, כולל כ-60 אלף כתובות ביטקוין, צ’אטים עם קורבנות ושמות יעד של תקיפות
תמונה: Pexels
כמו בכל בוקר, חברי קבוצת ההאקרים LockBit נכנסו ליום עבודה שגרתי במשרד. הניחו את התיק, הלכו למטבח להכין קפה, אולי גם לקחת יוגורט מהמקרר, והתיישבו בעמדה. אבל אותו היום לא היה יום רגיל, כי כשהם הדליקו את המחשב כדי להתחיל בעבודת הפשע שלהם, על כל המסכים הופיעה הודעה אחת: "אל תבצעו פשעים, פשע זה רע. באהבה מפרג XOXO", ולצידה קובץ ZIP שמכיל את כל מסד הנתונים של הקבוצה — חשבונות שותפים, שמות משתמשים, סיסמאות, הכל.
קבוצת ההאקרים LockBit, הידועה בהתמחותה בתחום הכופרה, חוותה השבוע פריצה פנימית למערכת ניהול השותפים שלה, לאחר שאתרי הניהול ברשת האפלה הושחתו והוחלפו בהודעה שהובילה לקובץ מסד נתונים מלא. הקבוצה נחשבת לאחת מקבוצות תקיפות הכופרה הפעילות והמתוחכמות בעשור האחרון, ופועלת במודל של RaaS – Ransomware as a Service. בין התקיפות שיוחסו לה היו הפריצה לחברת Continental הגרמנית, תקיפת משרד המשפטים הצרפתי והדלפת מסמכים משפטיים ומגוון מוסדות חינוך בארה"ב ובריטניה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אותו תסריט, פרצה חדשה
הקובץ, שעל פי הדיווח של התוקף המכונה Rey, מכיל מסד נתונים שנשאב מהפאנל שמשמש את שותפי LockBit, נותח על ידי אתר BleepingComputer וכולל 20 טבלאות בהן: טבלת כתובות ביטקוין עם כמעט 60 אלף ערכים ייחודיים, טבלת גרסאות של תקיפות כופרה, הכוללת מפתחות פומביים, ולעיתים גם שמות של החברות שנפגעו, טבלת הגדרות שמציינת אילו שרתי ESXi יש לדלג עליהם ואילו קבצים להצפין, טבלת צ’אטים המכילה יותר מ־4,400 הודעות מו"מ בין תוקפים לקורבנות שנשלחו בין דצמבר 2024 לאפריל 2025, טבלת משתמשים עם פרטי גישה של 75 שותפים ומנהלים, כולל סיסמאות בטקסט גלוי, עם דוגמאות כמו Weekendlover69 ו־Lockbitproud231.
בשיחה עם החוקרים, אישר משתמש שהזדהה כ־LockBitSupp את דבר הפריצה, אך טען כי לא דלפו מפתחות פרטיים ולא נגרם נזק ישיר לפעילות.
לפי הנתונים, העותק שהודלף נתפס ב־29 באפריל, ייתכן באמצעות פרצה מוכרת ב־PHP 8.1.2 (CVE-2024-4577) שמאפשרת הרצת קוד מרחוק על שרתים לא מעודכנים. ההודעה שהופיעה באתר דומה מאוד לזו שהוצגה בפריצה שבוצעה לאחרונה לאתר של קבוצת Everest, מה שמעורר אפשרות לקשר בין האירועים.
וזו לא הפעם הראשונה שהקבוצה מסומנת, בפברואר 2024 נוטרלו תשתיות הקבוצה במבצע Cronos, במסגרתו נתפסו 34 שרתים, מפתחות פענוח, נתונים גנובים ופאנל השותפים עצמו. למרות שהקבוצה לכאורה הצליחה להתאושש ולשוב לפעילות, הפגיעה הנוכחית, שכוללת חשיפה נרחבת של תשתית הפעולה, שמות יעדים והגדרות תקיפה, מחזקת את התחושה ש־LockBit כבר אינה שחקנית בלתי ניתנת לפגיעה. חשוב אף להדגיש כי לא מעט מהשותפים בקבוצת LockBit עזבו את הקבוצה לאחר מתקפת Cronos והחלו לפעול במקומות אחרים, מה שהוביל לירידה דרמטית במספר המתקפות שביצעה הקבוצה אשר מאז תחילת השנה עומדים על עשרות בודדות שפורסמו על ידה.
