กลุ่มแรนซัมแวร์ LockBit ประสบกับเหตุการณ์ของข้อมูลรั่วไหล หลังจากที่ affiliate panels ใน Dark Web ถูก defaced และถูกแทนที่ด้วยข้อความที่เชื่อมโยงไปยังการ dump ข้อมูลจากฐานข้อมูล MySQL
ทุก panels ผู้ดูแลระบบของกลุ่มแรนซัมแวร์ตอนนี้แสดงข้อความว่า "อย่าก่ออาชญากรรม อาชญากรรมมันไม่ดี xoxo จากกรุงปราก" พร้อมลิงก์ให้ดาวน์โหลดไฟล์ "paneldb_dump.zip"
ตามที่ Rey (@ReyXBF บน X) ผู้พบเห็นข้อความดังกล่าวในครั้งแรก ไฟล์ archive นี้ประกอบด้วยไฟล์ SQL ที่ถูก dumped มาจากฐานข้อมูล MySQL ของ site affiliate panel
จากการวิเคราะห์ของ BleepingComputer พบว่า ฐานข้อมูลนี้ประกอบด้วย 20 tables โดยบาง table มีความน่าสนใจมากกว่า table อื่น ๆ รวมถึง:
- 'btc_addresses' table ซึ่งประกอบด้วยที่อยู่ Bitcoin ที่ไม่ซ้ำกัน 59,975 ที่อยู่
- 'builds' table ประกอบด้วย builds แต่ละรายการที่สร้างขึ้นโดย affiliates เพื่อการโจมตี Table rows ประกอบด้วย public keys แต่ไม่มี private keys และชื่อบริษัทที่เป็นเป้าหมายยังแสดงอยู่ใน builds บางส่วน
- 'builds_configurations' table ประกอบด้วยการกำหนดค่าต่าง ๆ ที่ใช้สำหรับแต่ละ builds เช่น เซิร์ฟเวอร์ ESXi ที่จะ skip หรือไฟล์ที่ต้องการเข้ารหัส
- 'chats' table น่าสนใจมาก เพราะมีข้อความการเจรจา 4,442 ข้อความระหว่างการดำเนินการของทางกลุ่มแรนซัมแวร์ และเหยื่อ ตั้งแต่วันที่ 19 ธันวาคม ถึง 29 เมษายน
- 'users' table ระบุรายชื่อผู้ดูแลระบบ และ affiliates 75 คน ที่มีการเข้าถึง affiliate panel โดย Michael Gillespie พบว่า รหัสผ่านถูกเก็บในรูปแบบ plaintext ตัวอย่างของรหัสผ่านในรูปแบบ plaintext บางส่วน ได้แก่ 'Weekendlover69', 'MovingBricks69420', และ 'Lockbitproud231'
ในการสนทนาผ่าน Tox กับ Rey ผู้ดำเนินการ LockBit ที่รู้จักในชื่อ 'LockBitSupp' ได้ยืนยันการละเมิดนี้ โดยระบุว่าไม่มีการรั่วไหลของ private keys หรือข้อมูลสูญหาย
จากเวลาการสร้างไฟล์ MySQL และบันทึกวันที่ล่าสุดในแชทการเจรจา ฐานข้อมูลนี้ดูเหมือนจะถูก dumped ข้อมูลออกมาช่วงใดช่วงหนึ่งของวันที่ 29 เมษายน 2025
ยังไม่ชัดเจนว่าใครเป็นผู้ทำการโจมตี และทำได้อย่างไร แต่ข้อความทำให้เสียชื่อเสียงนั้นตรงกับข้อความที่ใช้ในการโจมตี Dark web ของแรนซัมแวร์ Everest เมื่อเร็ว ๆ นี้ ซึ่งแสดงให้เห็นถึงความเชื่อมโยงที่เป็นไปได้ว่ามาจากกลุ่มเดียวกัน
ในปี 2024 ปฏิบัติการทางกฎหมายที่เรียกว่า Operation Cronos ได้ลบโครงสร้างพื้นฐานของ LockBit รวมถึงเซิร์ฟเวอร์ 34 เครื่องที่โฮสต์ data leak เว็บไซต์ และ mirrors เว็บไซต์, ข้อมูลที่ขโมยมาจากเหยื่อ, ที่อยู่สกุลเงินดิจิทัล, 1,000 decryption keys และ affiliate panel
แม้ว่า LockBit จะสามารถสร้างระบบขึ้นมาใหม่ และกลับมาดำเนินการได้หลังจากการปิดระบบ แต่การโจมตีครั้งล่าสุดนี้ได้ส่งผลกระทบต่อชื่อเสียงที่ได้รับความเสียหายอยู่แล้ว
กลุ่มแรนซัมแวร์อื่น ๆ ที่เคยประสบกับเหตุการณ์ข้อมูลรั่วไหลที่คล้ายกัน ได้แก่ Conti, Black Basta และ Everest
ที่มา : bleepingcomputer
You must be logged in to post a comment.