Вымогательская группировка LockBit пострадала от утечки данных. Некто взломал панели администратора, предназначенные для партнеров группы, похитил данные, дефейснул админку и оставил послание: «Не совершайте преступлений, ПРЕСТУПЛЕНИЯ ЭТО ПЛОХО, xoxo из Праги».
Напомним, что от похожего взлома в апреле 2025 года пострадала другая хак-группа — Everest. Тогда злоумышленник оставил точно такое же сообщение на взломанном сайте, однако о краже данных ничего не сообщалось.
В случае LockBit хакер прикрепил к своему сообщению ссылку на скачивание архива paneldb_dump.zip. Этот архив содержит SQL-файл, полученный из БД MySQL партнерской панели администратора.
Как сообщило издание Bleeping Computer, суммарно дамп содержит двадцать таблиц, включая:
- таблицу btc_addresses, содержащую 59 975 уникальных биткоин-адресов;
- таблицу builds, содержащую отдельные сборки, созданные партнерами LockBit для атак. В строках таблицы содержатся публичные ключи, но нет приватных. Для некоторых билдов также приведены названия целевых компаний-жертв;
- таблицу builds_configurations, которая содержит различные конфигурации, используемые для каждой сборки, например, какие серверы ESXi пропускать или какие файлы шифровать;
- таблицу chats, где можно прочитать 4442 сообщения — переговоры между вымогателями и их жертвами за период с 19 декабря 2024 года по 29 апреля 2025 года.
- таблицу users, в которой перечислены 75 администраторов и партнеров LockBit, имевшие доступ к партнерской панели. При этом пароли хакеров хранились в открытом виде (среди них: Weekendlover69, MovingBricks69420 и Lockbitproud231).
Судя по времени создания MySQL-дампа и последней записи о дате в таблице chats, взлом и утечка произошли 29 апреля 2025 года.
Представитель группировки, известный под ником LockBitSupp, подтвердил факт взлома, но сообщил, что обошлось без утечки закрытых ключей и потери данных.
Пока неизвестно, кто может стоять за взломом LockBit и Everest, и какие цели преследует этот хакер.
