Nhóm hacker ransomware khét tiếng LockBit đã bị tấn công bởi các nhóm hacker khác. Hiện tại, các tài nguyên trang web, mật khẩu nền tảng và một phần mã chương trình của LockBit đã bị công khai tải lên mạng. Các nhà nghiên cứu an ninh mạng cũng phát hiện một số chi tiết chiến lược tấn công của LockBit trong các dữ liệu bị rò rỉ.
Trang dark web của Lockbit bị tấn công
Hacker có tên Rey là người đầu tiên phát hiện trang web chính của LockBit đã bị thay đổi thành một dòng chữ:
“Don’t Do Crime. Crime is Bad. Xoxo from Prague” (Đừng phạm tội. Phạm tội là xấu. Gửi yêu thương từ Praha)
Trên trang web còn có một tệp nén chứa cơ sở dữ liệu SQL nội bộ của LockBit. Theo điều tra từ các phương tiện truyền thông, cơ sở dữ liệu này bao gồm:
• Địa chỉ ví tiền mã hóa của nhiều thành viên trong tổ chức LockBit.
• Các công cụ tấn công mạng do LockBit sử dụng.
• Mật khẩu quản trị nội bộ.
• Bản ghi chi tiết các cuộc đàm phán tống tiền giữa LockBit và nhiều doanh nghiệp bị hại từ tháng 12/2023 đến tháng 4/2024.
Công ty phân tích an ninh mạng Dark Reading chỉ ra rằng nội dung bị rò rỉ tiết lộ một phần chiến thuật tấn công của LockBit. Ví dụ, chúng có thể:
• Ưu tiên tấn công các máy chủ điều khiển miền (Domain Controller) bị cấu hình sai hoặc có quyền truy cập quá cao.
• Nhắm tới hệ thống sao lưu, công cụ mã hóa ổ đĩa, và mạng lưới đại lý phục hồi dữ liệu để ngăn doanh nghiệp tự khôi phục thông tin.
Đây không phải lần đầu LockBit gặp sự cố an ninh. Vào tháng 2/2024, cơ sở hạ tầng mạng của nhóm này đã từng bị các cơ quan thực thi pháp luật quốc tế triệt phá, máy chủ bị đóng cửa và nhiều thành viên chủ chốt bị bắt giữ, tuy nhiên vẫn còn một số tàn dư hoạt động rải rác.