Lockbit勒索软件团伙遭黑客入侵，近6万比特币地址及关键数据泄露

知名勒索软件组织Lockbit近日遭遇了一次重大网络攻击，导致其内部操作被全面曝光。泄漏的数据包括近60,000个与该组织活动相关的比特币钱包地址、数千条与受害者的通信记录以及后端基础设施的详细信息。

此次安全事件最早由网络安全研究员REY在2025年4月底发现，并于5月初公开。Lockbit的暗网会员面板遭到篡改，页面上被替换为一条警示信息：“不要做犯罪。”

所以Lockbit刚开始了……XDpic.twitter.com/Jr94BVJ2DM

- 国王（@reyxbf）2025年5月7日

据REY透露，初步分析显示，该数据库转储是在2025年4月29日左右创建的，这意味着Lockbit在该日期或之前已经遭到入侵。

面板转储中的数据暴露

根据REY的分析，泄漏的数据库包含约20个表，其中一个名为“BTC_ADDRESSES”的表格列出了59,975个独特的比特币钱包地址，这些地址与Lockbit的勒索软件支付相关联。

此外，泄漏中还包括一个“builds”表，其中详细记录了Lockbit分支机构生成的勒索软件有效载荷。该表不仅包含公共加密密钥，还列出了一些目标公司的名称。

另一个名为“builds_configurations”的表格揭示了攻击者配置的文件或服务器列表，以避免或加密特定内容，同时还展示了以往勒索软件活动中使用的多种策略。

从一张名为“chats”的表格中可以看到，2024年12月19日至2025年4月29日期间，Lockbit成员与受害者之间进行了超过4,400次谈判。

pic.twitter.com/gjbtzQg9VM

- Ransom-DB（@ransom_db）2025年5月8日

此外，转储还公开了一个“users”表，列出了75名Lockbit管理员和分支机构成员，他们拥有访问小组后端面板的权限。令人震惊的是，这些用户的密码是以明文形式存储的。

网络安全研究员迈克尔·吉莱斯皮（Michael Gillespie）列举了一些泄露的密码，例如“WeekendLover69”、“MoveBricks69420”和“LockbitProud231”。

Lockbit的一名主要运营者Lockbitsupp在与REY的Tox聊天中确认了此次违规的真实性，但强调私钥和关键数据并未丢失。

Lockbitsupp的回应（这是翻译图像）：pic.twitter.com/l54g1A5hXz

- 国王（@reyxbf）2025年5月7日

Hudson Rock首席技术官阿隆·加尔（Alon Gal）指出，泄漏的数据中还包括一些自定义勒索软件构建工具和解密密钥。如果这些密钥经过验证，可能帮助部分受害者在无需支付赎金的情况下恢复数据。

利用服务器漏洞

对SQL转储的分析表明，受影响的服务器运行的是PHP 8.1.2版本，该版本存在“CVE-2024-4577”漏洞。此漏洞允许远程代码执行，这可能是攻击者渗透Lockbit后端系统的方式。

安全专家认为，此次攻击的风格与最近针对珠穆朗玛峰勒索软件网站的入侵事件类似，后者同样使用了“犯罪是不好的”这一措辞。这种相似性暗示，两个事件可能由同一攻击者或团体所为。

尽管目前尚未有人对此事负责，但英国安全研究员凯文·博蒙特（Kevin Beaumont）推测，Dragonforce组织可能与此有关。

他在Mastodon上写道：“有人砍了Lockbit。”

据英国广播公司（BBC）报道，Dragonforce此前曾参与针对英国多家零售商的网络攻击，包括Marks＆Spencer、合作社和Harrods。

2024年，Cronos行动作为一项由英国主导的跨国执法行动，暂时中断了Lockbit的活动，尽管该组织随后重新浮出水面。

据报道，该行动拆除了34台服务器，没收了加密货币钱包，并发现了1000多个解密密钥。

执法机构认为，Lockbit的运营者位于俄罗斯，由于司法管辖权的问题，直接逮捕这些犯罪分子几乎不可能。勒索软件团伙往往将活动范围限制在俄罗斯境内，以规避国际执法。

密码大都会学院：厌倦了市场波动？了解DEFI如何帮助您建立稳定的被动收入。立即注册