Хтось зламав одну з найвідоміших хакерських груп у світі

Що сталося з LockBit

Хакерське угруповання LockBit, відоме численними атаками з метою вимагання викупу, опинилося по інший бік кібервійни. Їхню партнерську інфраструктуру в даркнеті зламали, а замість панелей управління з’явилося іронічне повідомлення: "Не робіть злочинів, ЗЛОЧИН – ЦЕ ПОГАНО, xoxo з Праги". Разом із цим було опубліковано посилання на архів з витоком, повідомляє 24 Канал з посиланням на Reuters.

Архів містив дамп бази даних MySQL з партнерської панелі сайту LockBit. Першим витік помітив кіберентузіаст під псевдонімом Рей, а згодом аналітики підтвердили справжність вмісту. База включала 20 таблиць з важливою інформацією.

• Зокрема, таблиця btc_addresses містить майже 60 тисяч унікальних біткоїн-адрес, пов’язаних із операціями групи.
• У таблиці builds – конкретні збірки шкідливого ПЗ, створені партнерами.
• В builds_configurations – налаштування для атак, включно з інструкціями, які сервери не шифрувати.
• Найціннішою виявилася таблиця chats, де зафіксовано 4 442 повідомлення про переговори між зловмисниками та їхніми жертвами з грудня 2024 по квітень 2025 року.
• Крім того, у таблиці users перелічено 75 адміністраторів і партнерів LockBit, причому паролі до акаунтів зберігались у відкритому вигляді. Деякі з них виявились відверто комічними – “Weekendlover69”, “MovingBricks69420” та “Lockbitproud231”.

Факт зламу підтвердив оператор LockBit, відомий під ніком LockBitSupp, у спілкуванні з дослідником Реєм. За його словами, приватні ключі не витекли, хоча масштаби атаки вказують на серйозну втрату контролю над інфраструктурою. Дата останнього повідомлення в таблиці чатів збігається з днем створення дампа – 29 квітня 2025 року.

Хто саме зламав LockBit – поки невідомо. Проте метод втручання дуже нагадує злам даркнет-сайту іншого здирницького угруповання – Everest. Це може свідчити про спільне походження атак або ж про появу нового "мисливця на хакерів".

Раніше, у 2024 році, LockBit вже постраждала внаслідок масштабної операції правоохоронців під кодовою назвою "Операція Кронос", у межах якої було знищено 34 сервери, вилучено дані жертв, криптогаманці, ключі дешифрування та партнерські платформи. Після того група швидко заявила про своє повернення до мережі, заявивши: "Нас не зупинити".

Проте новий витік значно глибший – аналітики Rapid7 та Analyst1 вважають, що він завдасть групі помітної шкоди. За словами Крістіана Біка з Rapid7, шокує не лише саме проникнення, а й той факт, що LockBit працювали навіть з мікропідприємствами, беручи викупи з усіх без розбору. Джон ДіМаджіо з Analyst1 вважає, що це "уповільнить їхню роботу".