L’article de SecurityAffairs rapporte que le groupe de ransomware LockBit a été compromis par des attaquants qui ont volé et divulgué des données de l’infrastructure backend de leur site sur le dark web. Le site a été défacé avec un message indiquant “Don’t do crime CRIME IS BAD xoxo from Prague”.
BleepingComputer a analysé la base de données divulguée, révélant qu’elle contient 20 tables incluant des adresses BTC, des configurations de builds, 4 442 logs de discussions avec les victimes, et des données utilisateurs avec des mots de passe en clair. Les chercheurs ont noté que seuls 44 comptes utilisateurs sont associés à des builds d’encryptage, dont 30 étaient actifs au moment de la fuite.
L’expert en cybersécurité Emanuele De Lucia a extrait plus de 60 000 adresses du dump, suggérant que la présence de nombreuses clés privées pourrait être cruciale pour développer des outils de décryptage universels ou spécifiques aux victimes. Les logs de discussions montrent des demandes de rançon variant de 50 000 à 1 500 000 dollars, adaptées à la valeur perçue de la victime.
Les domaines de premier niveau (TLD) les plus touchés incluent .et (Éthiopie), .co (Colombie), .jp (Japon), .br (Brésil), .tw (Taïwan), .ph (Philippines), et .fr (France). L’article fournit une analyse technique et un aperçu des capacités et méthodes des acteurs de la menace, soulignant l’utilisation de FortiVPN comme point d’accès initial.
🔗 Source originale : https://securityaffairs.com/177619/cyber-crime/the-lockbit-ransomware-site-was-breached-database-dump-was-leaked-online.html