Une vulnérabilité critique a été découverte dans l’instance PHPMyAdmin de Lockbit, exploitée par un acteur inconnu. Lockbit, un groupe notoire pour ses attaques de ransomware, utilisait une version de PHP vulnérable (8.1.2) identifiée par le CVE-2024-4577, permettant une exécution de code à distance (RCE).
L’attaque a permis à l’acteur de dumper la base de données de Lockbit. Ces données incluaient des adresses bitcoin, des informations sur leur système de build, et des messages de négociation. Un point particulièrement critique est la découverte de noms d’utilisateur et mots de passe des agents de Lockbit, stockés sans chiffrement.
Les mots de passe, bien que pour la plupart robustes, incluaient quelques exemples de mauvaises pratiques de sécurité avec des mots de passe faibles comme “Weekendlover69” et “Lockbit123”. Cette fuite souligne un manque flagrant de sécurité dans la gestion des mots de passe par une organisation spécialisée dans les cyberattaques.
Cet article sert principalement à analyser l’incident et à souligner les failles de sécurité interne de Lockbit, en mettant en lumière l’importance de maintenir une infrastructure sécurisée même pour des groupes cybercriminels.
🔗 Source originale : https://dak.lol/lockbit-plaintext/
🖴 Archive : https://web.archive.org/web/20250508080702/https://dak.lol/lockbit-plaintext/