Băng nhóm hackers ransomware khét tiếng Lockbit bị tấn công, hàng loạt dữ kiện nội bộ nhạy cảm bị rò rỉ ra

[trungthuc]

(Minh họa)

Băng nhóm ransomware LockBit vừa trở thành nạn nhân của một vụ rò rỉ dữ kiện nghiêm trọng, sau khi các affiliate panel trên dark web bị deface và thay thế bằng một thông điệp dẫn đến sự nối kết tải xuống tập tin dump của cơ sở dữ liệu MySQL.

Toàn bộ các admin panel hiện hiển thị thông điệp: "Don’t do crime, CRIME IS BAD xoxo from Prague", kèm theo sự liên kết tải tập tin "paneldb_dump.zip". Đây là những số liệu được trích xuất từ affiliate panel của bọn hackers LockBit, lần đầu tiên được phát hiện ra bởi threat actor có biệt danh là Rey. Nguồn cơ sở số liệu này bao gồm 20 bảng, trong đó có nhiều bảng chứa thông tin đặc biệt quan trọng. Ví dụ:

- Bảng 'btc_addresses' chứa 59.975 địa chỉ ví Bitcoin.
- Bảng 'builds' liệt kê các bản dựng mã độc của affiliate, có chứa public key và trong một số trường hợp cả tên công ty bị nhắm mục tiêu để xâm nhập trái phép.
- Bảng 'builds_configuratio ns' ghi lại các cấu trúc riêng biệt cho từng bản dựng, ví dụ như loại trừ ESXi server hay chỉ định loại tập tin cần mã hóa.
- Bảng 'chats' lưu lại 4,442 tin nhắn về các đàm phán giữa LockBit và các nạn nhân, kéo dài từ 19/12/24 đến 29/4/25.
- Bảng 'users' bao gồm thông tin cá nhân của 75 admin và affiliate, trong đó mật khẩu được lưu dưới dạng plaintext như Weekendlover69, MovingBricks69420, Lockbitproud231.

Kẻ cầm đầu nhóm LockBit có biệt danh là "LockBitSupp" đã xác nhận vụ tấn công và rò rỉ này, đồng thời nhấn mạnh rằng không có private key nào bị lộ và không có dữ kiện nào bị thất thoát, vụ rò rỉ này có nhiều khả năng đã xảy ra vào ngày 29 tháng 4 năm 2025.

Hiện chưa rõ ai là thủ phạm và phương thức tấn công tinh vi này, nhưng thông điệp deface giống với vụ tấn công gần đây nhằm vào bọn "Everest ransomware", làm dấy lên sự nghi ngờ về mối liên hệ giữa các vụ tấn công này. Thêm vào đó, tập tin SQL dump có tiết lộ ra máy chủ của LockBit đang chạy PHP 8.1.2, phiên bản tồn tại lỗ hổng nghiêm trọng CVE-2024-4577, cho phép thực hiện remote code execution nếu bị khai thác.

Trước đó, vào năm 2024, chiến dịch Operation Cronos do các cơ quan thực thi pháp luật quốc tế phát động đã đánh sập hạ tầng cơ sở của bọn LockBit, loại bỏ ra 34 máy chủ, số liệu các nạn nhân, địa chỉ ví tiền mã hóa, 1,000 khóa giải mã và toàn bộ affiliate panel.

Dù bọn hackers LockBit đã nhanh chóng cho khôi phục hoạt động, vụ rò rỉ lần này tiếp tục giáng thêm một đòn mạnh vào tiếng tăm bất hảo vốn đã bị tổn hại nghiêm trọng của nhóm hackers này. Liệu đây có phải là dấu chấm hết cho LockBit hay không vẫn còn là câu hỏi còn bỏ ngỏ, nhưng những gì đang xảy ra khiến cho kịch bản đó ngày càng trở nên khả thi, tương tự như số phận của băng nhóm hackers Conti, Black Basta hay Everest sau các vụ bị Interpol phối hợp tân công làm lộ ra số liệu nội bộ của bọn xấu này.

Theo: Bleeping computer