Dataomfanget af LockBit Lækagen
Næsten 60.000 Bitcoin-adresser knyttet til LockBits ransomware-infrastruktur er blevet lækket efter, at hackere brød ind i gruppens affiliate-panel på dark web. Lækagen omfattede et MySQL-databasedump, der blev delt offentligt online og indeholdt oplysninger relateret til kryptovaluta, som kan hjælpe blockchain-analytikere med at spore gruppens ulovlige finansstrømme.
Hvad er Ransomware?
Ransomware er en type malware anvendt af ondsindede aktører. Den låser målets filer eller computersystemer, hvilket gør dem utilgængelige. Ofrene kræver typisk en løsesum, ofte i digitale aktiver som Bitcoin, i bytte for en dekrypteringsnøgle, der kan låse filerne op. LockBit er en af de mest berygtede ransomware-grupper inden for kryptovaluta. I februar 2024 iværksatte ti lande en fælles operation for at destabilisere gruppen og udtrykte, at organisationen havde forårsaget milliardbeløb i skader på kritisk infrastruktur.
Ingen Private Nøgler Lækket
Det er værd at bemærke, at ingen Bitcoin-private nøgler blev lækket. Selvom næsten 60.000 Bitcoin-tegnebøger blev offentliggjort, var der ingen private nøgler eller følsomme data involveret. En bruger på X delte en samtale med en LockBit-operatør, der bekræftede sikkerhedsbruddet. Dog hævdede LockBit-repræsentanten, at intet af de private nøgler eller data var gået tabt.
Databasens Indhold
Analytikere fra Bleeping Computer oplyste, at databasen indeholdt 20 tabeller, herunder en “builds”-tabel, der indeholdt individuelle ransomware-builds oprettet af organisationens affiliates. Dataene identificerede også nogle af de virksomheder, der var blevet målrettet af disse builds. Desuden inkluderede den lækkede database en “chats”-tabel, der rummede over 4.400 forhandlingsbeskeder mellem ofrene og ransomware-organisationen.
Forbindelse til Tidligere Brud
Hackingen af LockBit er også forbundet med et tidligere ransomware-brud, kaldet Everest. Det er stadig uklart, hvem der står bag dette brud, og hvordan de trængte ind i LockBits operationer. Analytikere fra Bleeping Computer bemærkede, at beskeden, der blev anvendt i bruddet på Everest ransomware-siden, matchede den, der blev anvendt i LockBit. Dette antyder en mulig forbindelse mellem de to hændelser.
Kryptovalutaens Rolle i Ransomware-Økonomien
Bruddet fremhæver den rolle, som kryptovaluta spiller i ransomware-økonomien. Hver angreb bliver typisk tildelt en adresse til at modtage deres løsesum, hvilket muliggør, at affiliates kan overvåge betalinger samtidig med, at de forsøger at skjule forbindelser til deres primære tegnebøger.
Eksponeringen af disse adresser giver retshåndhævende myndigheder og blockchain-efterforskere mulighed for at spore betalingsmønstre og potentielt knytte tidligere løsesumsbetalinger til kendte tegnebøger.
