Крупнейшая кибергруппировка LockBit сама оказалась взломана

В темноте — сенсация: крупнейшая вымогательская группировка LockBit подверглась хакерской атаке. Утекли переписки с жертвами, адреса биткойнов-кошельков, внутренние пароли и даже открытые версии программ-вымогателей. Теперь следователи всего мира внимательно изучают то, что раньше было недосягаемо. IT-World собрал информацию о том, как устроен вымогательский «бизнес» изнутри, кто мог взломать LockBit — и что это означает для рынка киберпреступности?
7 мая сайты LockBit в даркнете неожиданно поменяли оформление. Вместо анонсов новых «сливов» — издевательское сообщение: «Не совершайте преступлений. ПРЕСТУПЛЕНИЕ — ЭТО ПЛОХО. xoxo из Праги». Подпись, сделанная из любовной открытки, сопровождалась ссылкой на архив с данными. Так начался один из самых громких утечек в истории киберпреступности.

Файл Paneldb_dump.zip весом 7,5 мегабайт оказался настоящим сокровищем для экспертов по информационной безопасности.

Исследователи подтвердили первоначальность материалов. Данные в Гудзон-Роке считаются абсолютно достоверными: часть кошельков активна, некоторые из них уже найдены на более чем $100 000 в криптовалюте. Это обеспечивает прямой путь к отслеживанию результатов и обеспечению идентификации фигурантов схем.

Особый интерес вызвали сливы. В них видно, как операторы LockBit борются, деньги — суммы разнятся от нескольких тысяч до $100 000, давление — системное, с угрозами и ультиматумами. Причём среди атакованных — не только крупные корпорации, но и малые предприятия, у которых и шантажировать особенно нечем.

Группировка поспешила заявить, что утечка прогноза затронула только «лёгкую панель с авторегистрацией», и что ни один дешифратор или украденные клиентские данные не пострадали. Администратор под ником LockBitSupp (официально идентифицированный в США как Дмитрий Юрьевич Хорошев) даже дал вознаграждение за информацию о личности атакующего. Хотя сама группировка обычно не признает ошибок, здесь приходится как минимум объясняться.

Подпись «xoxo from Prague» уже знакома специалистам: ровно такая же резервация на сайте другой хакерской группировки — Эверест — в конце концов. Совпадение? Вряд ли. Вероятно, речь идет о серии целенаправленных атак, возможно — со стороны консультантов или хаактивистов. В версии SlowMist для взлома использовалась уязвимость PHP — предположительно CVE-2024-4577, позволяющая удаленно получить доступ к веб-интерфейсу админ-панели.

Ирония ситуации в том, что LockBit — не просто кибергруппировка, флагман всего рынка программ-вымогателей. IT-мир уже писал, как работают криптовалютные вымогатели и вирусы-шифровальщики, какой износ носит ущерб и как от них защититься.

Однако в 2024 году позиция расшатала международную операцию Cronos, в которой участвовали ФБР, британская NCA и другие ведомства. Тогда было конфисковано 34 сервера, более 1000 дешифраторов и ключевая часть работы.

LockBit пережил и это. Восстановилась, аффилиаты, сайт снова заработал. Но теперь — совсем другая история. Утечка задевает сразу несколько уязвимых точек: безопасность партнёров, защита «панелей» и главное — имиджевая неприкосновенность. Ведь если кто-то смог не просто проникнуть, но и опубликовать основные данные, возникает вопрос: что ещё там лежит — и кто следующий?

Кибератаки 2024–2025 гг. Как хакеры атакуют бизнес и что с этим делать
К слову, опубликованные данные позволяют реконструировать организационную структуру LockBit: более 35 активных аффилиатов, ещё столько же временно «на паузе», идентификаторы в системе Tox, пользовательские билды — всё это сейчас в руках. Технический директор Хадсон Рок даже запустил инструмент LockbitGPT — помощник на базе ИИ для анализа базы данных.

Финансовая составляющая тоже вызывает: теперь можно напрямую отслеживать маршруты Выплаты, связывать адреса с активными атаками и партнерскими интересами. Для правоохранителей это — редкая возможность получить доказательные основания, а для жертвы — выяснить, были ли они в числе подвергшихся нападению.

LockBit пытается сохранить лицо, но аналитики отмечают: группировка взглядов на вес. Многие «новые жертвы», появившиеся на их сайте в последние месяцы, оказались либо старыми, либо не подключались к LockBit напрямую. Прежняя мощь — во многом иллюзия. Рынок вымогателей становится всё более разрозненным, а игроки — всё менее защищёнными.