<div id="post_message_790280">

всегда удивляет когда преступники которые взламывают сайты сами же пишут не занимайтесь преступлениями когда сами преступники
</div>

<div id="post_message_790277">

Вымогатели грозили всему миру, а сдал их уязвимый PHP.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/iblock/cc8/wg0kqjcnc2ea0a632fa8ptj6tp516mc7.jpg"/><br/>
<br/>
Группировка вымогателей LockBit оказалась в центре громкого инцидента, после того как её даркнет-инфраструктура подверглась масштабному взлому. Неизвестные атакующие дефейснули все админ-панели банды, заменив интерфейс на сообщение «Don't do crime CRIME IS BAD xoxo from Prague» и прикрепив ссылку на скачивание архива с дампом базы данных MySQL.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/866/o37shinauj79mithb7yp5hkrz10tt2a2.png"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

(@ReyXBF)

</td>
</tr>
</table>
</div>Файл, получивший название «<i>paneldb_dump.zip</i>», содержит SQL-дамп из административной панели LockBit. Архив включает в себя двадцать таблиц, из которых ряд имеет высокую ценность с точки зрения внутренней организации деятельности группировки. Первым на инцидент<a href="https://x.com/ReyXBF/status/1920220381681418713" target="_blank"> обратил внимание</a> киберпреступник под псевдонимом Rey, а более глубокий анализ содержимого был проведён изданием BleepingComputer.<br/>
<br/>
Среди наиболее интересных таблиц — <i><font color="white">btc_addresses</font></i>, содержащая 59 975 уникальных биткойн-адресов, связанных с операциями банды. Таблица <i><font color="white">builds </font></i>включает информацию о конкретных вредоносных сборках, созданных аффилиатами для проведения атак. В каждой записи указаны публичные ключи, а в некоторых случаях — имена атакованных компаний. Хотя приватные ключи в базу не попали, уже этого объёма достаточно, чтобы отследить логику и цели операций.<br/>
<br/>
Таблица <i><font color="white">builds_configurations</font></i> раскрывает технические параметры, использовавшиеся при создании шифровальщиков — например, какие серверы ESXi необходимо обходить и какие типы файлов подлежат шифрованию.<br/>
<br/>
Отдельного внимания заслуживает таблица <i><font color="white">chats</font></i>, содержащая 4 442 сообщения, которые велись между LockBit и их жертвами с 19 декабря 2024 года по 29 апреля 2025 года. Это фактически представляет собой полную историю переговоров, позволяющую исследовать тональность угроз, суммы выкупов и методы давления.<br/>
<br/>
Таблица <i><font color="White">users</font></i> указывает на 75 зарегистрированных пользователей, включая администраторов и аффилиатов, имевших доступ к панели. По данным аналитика Майкла Гиллеспи, все пароли в базе хранились в открытом виде. Некоторые из них — например, «Weekendlover69», «MovingBricks69420» и «Lockbitproud231» — вызвали бурную реакцию в сообществе из-за своей комичности и небрежности в вопросах безопасности.<br/>
<br/>
Базу, судя по времени создания дампа и последней дате в таблице с чатами, выгрузили не позднее 29 апреля 2025 года. Информация подтверждена самим оператором LockBit, известным как LockBitSupp, в <a href="https://x.com/ReyXBF/status/1920245719434231900" target="_blank">переписке </a>в Tox с Rey. Он признал факт взлома, но подчеркнул, что приватные ключи и критически важные данные не утекли.<br/>
<br/>
Точная методика атаки пока не установлена, однако известно, что сервер, на котором размещалась панель, работал на уязвимой версии PHP 8.1.2. Эта версия подвержена уязвимости <a href="https://www.securitylab.ru/analytics/559134.php" target="_blank">CVE-2024-4577 </a>, позволяющей выполнить удалённый код на сервере. Учитывая совпадение, вполне вероятно, что именно эта <a href="https://www.ptsecurity.com/ru-ru/research/threatscape/?utm_source=Securitylab.ru" target="_blank">уязвимость </a>была использована для компрометации ресурса.<br/>
<br/>
Дополнительное внимание привлекает сходство дефейс-сообщения с тем, что использовалось ранее при аналогичной атаке на даркнет-ресурсы другой группировки — Everest. Совпадение фраз может свидетельствовать о причастности одних и тех же лиц или как минимум об использовании одних и тех же тактик.<br/>
<br/>
LockBit ранее уже пережила масштабную спецоперацию под кодовым названием Operation Cronos, проведённую в 2024 году. Тогда были конфискованы 34 сервера, служившие для размещения сайтов утечек, зеркал, хранилищ украденных данных, криптовалютных кошельков, а также изъяты около 1 000 дешифраторов и полностью отключена панель для аффилиатов. Несмотря на попытки восстановиться после этого удара, новая компрометация инфраструктуры наносит серьёзный урон и без того пошатнувшейся репутации банды.<br/>
<br/>
Пока рано говорить о полном прекращении деятельности LockBit, но утечка такого масштаба способна лишить группировку доверия аффилиатов и затруднить дальнейшие операции. Подобные публичные сливы ранее обрушили ряды таких группировок, как Conti, Black Basta и Everest, продемонстрировав, что устойчивость вымогателей может оказаться иллюзорной.<br/>
<br/>
<a href="https://www.securitylab.ru/news/559128.php" target="_blank">@ SecurityLab </a>
</div>

<div id="post_message_790814">

кстати, у кого дамп то есть?
</div>