Le gang de ransomware Lock Bit a subi une violation de données après que ses panneaux d’affiliation dark Web ont été dégradés et remplacés par un message renvoyant à un vidage de base de données MySQL.

Tous les panneaux d’administration du gang ransomware indiquent maintenant. « Ne commettez pas de crime LE CRIME EST MAUVAIS xoxo de Prague », avec un lien pour télécharger un  » paneldb_dump.zip. »

Verrouiller un site Web sombre avec un lien vers la base de données

Comme repéré pour la première fois par l’auteur de la menace, Rey, cette archive contient un fichier SQL extrait de la base de données MySQL du panneau d’affiliation du site.

D’après l’analyse de Breachtrace, cette base de données contient une vingtaine de tables, certaines plus intéressantes que d’autres, notamment:

  • Une table ‘btc_addresses’ qui contient 59 975 adresses Bitcoin uniques.
  • Une table « builds » contient les builds individuels créés par les affiliés pour les attaques. Les lignes de la table contiennent les clés publiques, mais pas de clés privées, malheureusement. Les noms des entreprises ciblées sont également répertoriés pour certaines des versions.
  • Une table ‘builds_configurations’ contient les différentes configurations utilisées pour chaque build, telles que les serveurs ESXi à ignorer ou les fichiers à chiffrer.
  • Une table « chats » est très intéressante car elle contient 4 442 messages de négociation entre l’opération de ransomware et les victimes du 19 décembre au 29 avril.
Tableau des discussions du panneau d’affiliation
  • Un tableau « utilisateurs » répertorie 75 administrateurs et affiliés qui avaient accès au panneau d’affiliation, Michael Gillespie remarquant que les mots de passe étaient stockés en clair. Des exemples de mots de passe en clair sont ‘Weekend lover 69, ‘MovingBricks69420’ et ‘Lock bit proud 231’.

Lors d’une conversation avec Rey, l’opérateur de verrouillage connu sous le nom de « LockBitSupp » a confirmé la violation, déclarant qu’aucune clé privée n’avait été divulguée ou qu’aucune donnée n’avait été perdue.

Sur la base de l’heure de génération du vidage MySQL et du dernier enregistrement de date dans la table des discussions de négociation , la base de données semble avoir été vidée à un moment donné le 29 avril 2025.

On ne sait pas qui a effectué la violation et comment cela a été fait, mais le message de dégradation correspond à celui utilisé dans une récente violation du site Web sombre d’Everest ransomware, suggérant un lien possible.

En 2024, une opération d’application de la loi appelée Opération Cronos a démantelé l’infrastructure de LockBit, y compris 34 serveurs hébergeant le site Web de fuite de données et ses miroirs, les données volées aux victimes, les adresses de crypto-monnaie, 1000 clés de déchiffrement et le panneau d’affiliation.

Bien que LockBit ait réussi à reconstruire et à reprendre ses activités après le démantèlement, cette dernière violation porte un coup supplémentaire à sa réputation déjà endommagée.

Il est trop tôt pour dire si ce coup de réputation supplémentaire sera le dernier clou dans le cercueil du gang de ransomwares.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *