Băng nhóm ransomware LockBit vừa trở thành nạn nhân của một vụ rò rỉ dữ liệu nghiêm trọng, sau khi các affiliate panel trên dark web bị deface và thay thế bằng một thông điệp dẫn tới liên kết tải xuống tập tin dump của cơ sở dữ liệu MySQL.
Toàn bộ các admin panel hiện hiển thị thông điệp: “Don’t do crime, CRIME IS BAD xoxo from Prague”, kèm theo liên kết tải tập tin “paneldb_dump.zip.” Đây là dữ liệu được trích xuất từ affiliate panel của LockBit, lần đầu tiên được phát hiện bởi threat actor có biệt danh Rey. Nguồn cơ sở dữ liệu này bao gồm 20 bảng, trong đó có nhiều bảng chứa thông tin đặc biệt quan trọng. Ví dụ:
-
Bảng ‘btc_addresses’ chứa 59.975 địa chỉ ví Bitcoin.
-
Bảng ‘builds’ liệt kê các bản dựng mã độc của affiliate, có chứa public key và trong một số trường hợp cả tên công ty bị nhắm mục tiêu.
-
Bảng ‘builds_configurations’ ghi lại các cấu hình riêng biệt cho từng bản dựng, ví dụ như loại trừ ESXi server hay chỉ định loại tập tin cần mã hóa.
-
Bảng ‘chats’ lưu lại 4.442 tin nhắn đàm phán giữa LockBit và các nạn nhân, kéo dài từ 19/12 đến 29/4.
-
Bảng ‘users’ bao gồm thông tin của 75 admin và affiliate, trong đó mật khẩu được lưu dưới dạng plaintext như Weekendlover69, MovingBricks69420, Lockbitproud231.
Kẻ cầm đầu LockBit có biệt danh ‘LockBitSupp’ đã xác nhận sự cố, đồng thời nhấn mạnh rằng không có private key nào bị lộ và không có dữ liệu nào bị mất, vụ rò rỉ nhiều khả năng xảy ra vào ngày 29 tháng 4 năm 2025.
Hiện chưa rõ ai là thủ phạm và phương thức tấn công, nhưng thông điệp deface giống với vụ việc gần đây nhằm vào Everest ransomware, làm dấy lên nghi ngờ về mối liên hệ giữa các vụ tấn công. Thêm vào đó, tập tin SQL dump tiết lộ máy chủ của LockBit đang chạy PHP 8.1.2, phiên bản tồn tại lỗ hổng nghiêm trọng CVE-2024-4577, cho phép thực hiện remote code execution nếu bị khai thác.
Trước đó, vào năm 2024, chiến dịch Operation Cronos do các cơ quan thực thi pháp luật quốc tế phát động đã đánh sập hạ tầng LockBit, loại bỏ 34 máy chủ, dữ liệu nạn nhân, địa chỉ ví tiền mã hóa, 1.000 khóa giải mã và toàn bộ affiliate panel.
Dù LockBit đã nhanh chóng khôi phục hoạt động, vụ rò rỉ lần này tiếp tục giáng thêm một đòn mạnh vào danh tiếng vốn đã bị tổn hại nghiêm trọng của nhóm. Liệu đây có phải là dấu chấm hết cho LockBit hay không vẫn còn là câu hỏi bỏ ngỏ – nhưng những gì đang diễn ra khiến kịch bản đó ngày càng trở nên khả thi, tương tự như số phận của Conti, Black Basta hay Everest sau các vụ lộ dữ liệu nội bộ.
