Lockbit, băng nhóm ransomware hàng đầu, đã trở thành nạn nhân của một cuộc tấn công mạng vào ngày 29 tháng 4. Trang web chính thức của băng nhóm này hiện hiển thị thông điệp sau: "Đừng phạm tội, tội ác là xấu, xoxo từ Prague", hoặc bằng tiếng Pháp "Ne committez pas de crime, le crime, c'est mal. Kisses from Prague." Tất cả các bảng quản trị của băng nhóm đều hiển thị cùng một thông báo. Rõ ràng, một tên tội phạm mạng từ Prague ở Cộng hòa Séc đã xâm nhập vào máy chủ của Lockbit.
Như chuyên gia Clément Domingo giải thích trên tài khoản X của mình, đây là "mỏ vàng" đối với "các nhà nghiên cứu an ninh mạng, cơ quan tình báo và một số nhóm tội phạm mạng". Với dữ liệu bị xâm phạm, chúng ta hoàn toàn có thể phát hiện ra các hoạt động của Lockbit và theo dõi mọi hành vi sai trái của họ, bao gồm cả các giao dịch tiền điện tử. Điều này lý tưởng để theo dõi số tiền chuộc mà nạn nhân phải trả. Theo quan điểm của Clément Domingo, vụ rò rỉ dữ liệu mới này "có thể chôn vùi Lockbit một cách chắc chắn". Bleeping Computer cũng bày tỏ quan điểm tương tự, cho rằng đây có thể là "chiếc đinh cuối cùng đóng vào quan tài" của băng đảng này. Lockbit hạ thấp tác động của vụ rò rỉ dữ liệu Trong cuộc trò chuyện với một tin tặc khác, người đứng đầu Lockbit, LockBitSupp, đã xác nhận vụ rò rỉ dữ liệu, đồng thời hạ thấp tác động của sự cố. Ông làm rõ rằng mã nguồn của phần mềm tống tiền không bị xâm phạm, cũng như khóa giải mã. Mô hình kinh doanh của Lockbit không gặp nguy hiểm. Ông nói thêm rằng vụ rò rỉ này không ảnh hưởng đến các công ty đã bị ông hack. Tên tội phạm mạng, người đã được FBI tiết lộ danh tính vào năm ngoái, tuyên bố đã quay trở lại làm việc.
Clément Domingo chỉ ra rằng trang web Lockbit bị tấn công "có kèm theo một thông điệp giống hệt với thông điệp được để lại trong vụ tấn công nhóm ransomware Everest". Tháng trước, băng đảng này đã trở thành mục tiêu của một cuộc tấn công mạng. Trang web đen của băng đảng này, nơi có hơn 230 nạn nhân, đã ngừng hoạt động, hiển thị cùng một thông điệp bí ẩn. Thông báo này cho thấy rằng chính tin tặc đã xâm nhập vào máy chủ Everest và Lockbit. Đây cũng có thể là một bản sao.
Đây không phải là lần đầu tiên Lockbit bị tấn công mạng. Mùa hè năm ngoái, nhóm này đã phải đối mặt với hàng loạt cuộc tấn công DDoS khiến toàn bộ nền tảng của nhóm phải tạm thời ngừng hoạt động. Hơn nữa, Lockbit còn bị pháp luật điều tra vào năm ngoái. Vào mùa đông, một chiến dịch cảnh sát lớn do FBI chỉ huy đã tấn công Lockbit. Các nhân viên thực thi pháp luật đã kiểm soát được một phần cơ sở hạ tầng của băng đảng và bắt giữ một số thành viên. Sau đó, FBI phát hiện ra rằng họ đã có được một số chìa khóa giải mã của bọn tội phạm.
Lockbit nhanh chóng xuất hiện trở lại, phát động một loạt các cuộc tấn công mạng vào các công ty và tổ chức chính phủ Hoa Kỳ. Bất chấp những nỗ lực của chính quyền, nhóm này vẫn quay trở lại tuyến đầu. Tuy nhiên, băng nhóm này dường như đã suy yếu, dẫn đến sự sụt giảm đáng kể về số lượng các hoạt động tống tiền.
Nguồn: Bleeping Computer
Dữ liệu nhạy cảm và có giá trị
Tin tặc này cũng cung cấp cơ sở dữ liệu MySQL trên trang web của băng nhóm. Thư mục này chứa rất nhiều dữ liệu nhạy cảm về các hoạt động của tội phạm mạng Lockbit. Các đồng nghiệp của chúng tôi tại Bleeping Computer, những người đã tìm kiếm trong danh bạ, đã tìm thấy danh sách 59.975 địa chỉ Bitcoin của băng nhóm, 4.442 tin nhắn đàm phán giữa Lockbit và các mục tiêu của nó, cùng một số từ được 75 quản trị viên và chi nhánh của phần mềm tống tiền này sử dụng. Nó cũng chứa các cấu hình tấn công cho các mục tiêu cụ thể.Như chuyên gia Clément Domingo giải thích trên tài khoản X của mình, đây là "mỏ vàng" đối với "các nhà nghiên cứu an ninh mạng, cơ quan tình báo và một số nhóm tội phạm mạng". Với dữ liệu bị xâm phạm, chúng ta hoàn toàn có thể phát hiện ra các hoạt động của Lockbit và theo dõi mọi hành vi sai trái của họ, bao gồm cả các giao dịch tiền điện tử. Điều này lý tưởng để theo dõi số tiền chuộc mà nạn nhân phải trả. Theo quan điểm của Clément Domingo, vụ rò rỉ dữ liệu mới này "có thể chôn vùi Lockbit một cách chắc chắn". Bleeping Computer cũng bày tỏ quan điểm tương tự, cho rằng đây có thể là "chiếc đinh cuối cùng đóng vào quan tài" của băng đảng này. Lockbit hạ thấp tác động của vụ rò rỉ dữ liệu Trong cuộc trò chuyện với một tin tặc khác, người đứng đầu Lockbit, LockBitSupp, đã xác nhận vụ rò rỉ dữ liệu, đồng thời hạ thấp tác động của sự cố. Ông làm rõ rằng mã nguồn của phần mềm tống tiền không bị xâm phạm, cũng như khóa giải mã. Mô hình kinh doanh của Lockbit không gặp nguy hiểm. Ông nói thêm rằng vụ rò rỉ này không ảnh hưởng đến các công ty đã bị ông hack. Tên tội phạm mạng, người đã được FBI tiết lộ danh tính vào năm ngoái, tuyên bố đã quay trở lại làm việc.
Clément Domingo chỉ ra rằng trang web Lockbit bị tấn công "có kèm theo một thông điệp giống hệt với thông điệp được để lại trong vụ tấn công nhóm ransomware Everest". Tháng trước, băng đảng này đã trở thành mục tiêu của một cuộc tấn công mạng. Trang web đen của băng đảng này, nơi có hơn 230 nạn nhân, đã ngừng hoạt động, hiển thị cùng một thông điệp bí ẩn. Thông báo này cho thấy rằng chính tin tặc đã xâm nhập vào máy chủ Everest và Lockbit. Đây cũng có thể là một bản sao.
Đây không phải là lần đầu tiên Lockbit bị tấn công mạng. Mùa hè năm ngoái, nhóm này đã phải đối mặt với hàng loạt cuộc tấn công DDoS khiến toàn bộ nền tảng của nhóm phải tạm thời ngừng hoạt động. Hơn nữa, Lockbit còn bị pháp luật điều tra vào năm ngoái. Vào mùa đông, một chiến dịch cảnh sát lớn do FBI chỉ huy đã tấn công Lockbit. Các nhân viên thực thi pháp luật đã kiểm soát được một phần cơ sở hạ tầng của băng đảng và bắt giữ một số thành viên. Sau đó, FBI phát hiện ra rằng họ đã có được một số chìa khóa giải mã của bọn tội phạm.
Lockbit nhanh chóng xuất hiện trở lại, phát động một loạt các cuộc tấn công mạng vào các công ty và tổ chức chính phủ Hoa Kỳ. Bất chấp những nỗ lực của chính quyền, nhóm này vẫn quay trở lại tuyến đầu. Tuy nhiên, băng nhóm này dường như đã suy yếu, dẫn đến sự sụt giảm đáng kể về số lượng các hoạt động tống tiền.
Nguồn: Bleeping Computer