#安全资讯 布拉格黑客再次上分:继攻击勒索软件 Everest 后又对 LockBit 发起攻击,直接拿下数据库并提供公开下载。随后还将网站首页改成:不要犯罪,犯罪是不好的,来自布拉格的 xoxo。目前还不清楚这位 xoxo 到底是谁,不过估计还会继续对勒索软件发起攻击。查看全文:https://ourl.co/108965来自捷克首都布拉格代号 xoxo 的黑客对加密勒索软件 LockBit 合作伙伴站点发起攻击,这名黑客将相关站点指向通知页面,同时还提供 MySQL 数据库转储消息供所有人开放下载。
xoxo 早前刚刚对勒索软件团伙 Everest 发起攻击并且留下了完全相同的通知:不要犯罪,犯罪是不好的,来自布拉格的 xoxo。只是没想到现在 LockBit 都也被攻击并泄露数据。
LockBit 合作伙伴站点数据包括由其下游机构创建的各种勒索加密公钥、目标企业名称、比特币地址,比较有趣的是这份数据库还包含勒索软件团伙与受害者之间的赎金沟通记录,具体来说包含 4,442 条谈判信息。
遗憾的是数据库里并没有包含私钥,也就是用于解密文件的密钥,如果私钥也可以被泄露的话,那么当前遭到 LockBit 加密数据并勒索的企业就可以直接拿私钥解密所有数据了。
这里需要说明的是 LockBit 采用 RaaS (勒索软件即服务) 模式,该勒索软件的开发团队不参与对企业的直接攻击,下游黑客可以对企业发起各种攻击然后使用 LockBit 进行数据加密,当企业支付赎金时 LockBit 开发团队会从中抽成用作软件的使用费用。
而此次被黑的站点主要就是 LockBit 下游机构使用,用来存储部分数据并与受害企业进行沟通,这是 LockBit 为下游机构提供的管理面板,只不过里面并没有包含特别机密的数据。
目前 LockBit 勒索软件的主要开发者也就是 LockBitSupp 已经承认此次数据泄露为真,不过 LockBitSupp 也表示没有私钥泄露或者数据丢失,所以整体来说没有造成任何实质性的影响。
只不过数据库里包含的 59975 个比特币地址可能还是有价值的,这些比特币可以用来分析勒索软件的资金流向并进行标记,毕竟大多数受害企业支付赎金时都是保密的并没有公开说明和透露自己或黑客使用的比特币地址。
