【黑吃黑?】LockBit勒索軟件集團反遭黑客入侵 機密資料被公開
剛在去年被英、美等多國執法部門聯手「打臉」的勒索軟件集團 LockBit,近日再陷醜聞。有網絡安全專家發現,其暗網聯繫網頁遭不知名黑客入侵,並被留下挑釁訊息與一條包含大量機密資料的壓縮檔案「paneldb_dump.zip」的下載連結。這已是 LockBit 連續兩年發生數據外洩事件,對其「商譽」構成重大打擊。若想翻身,睇怕都要改名假扮新集團重新出發。
談判記錄被公開
經專家下載及細閱這個壓縮檔案的內容後,發現內裏有 20 個數據表,其中最引人注目的部分莫過於一個名為 chats 的文件,內裏包含由 2024 年 12 月 19 日至 2025 年 4 月 29 日期間,LockBit 與受害者之間的 4,442 條談判記錄,讓獲得檔案的人可以研究 LockBit 成員的談判技巧。
除了談判記錄,另一個名為「btc_addresses」的數據表內亦記錄了近 59,975 條比特幣地址,可追蹤到 LockBit 的資金流向;而一個名為「builds」的數據表則清楚列出多個 LockBit 勒索軟件的版本及用來攻擊的公司名稱,遺憾的是內裏雖然列有公鑰部分,但就未有包含私鑰,因而無法用來幫助曾被攻擊的受害企業解鎖系統或檔案。
成員安全意識薄弱
除了資料外洩本身,最令 LockBit 難堪的是其伺服器的安全漏洞,可能直接導致了這次入侵。專家指出,LockBit 使用的伺服器運行的是 PHP 8.1.2,而該版本存在一個已知的嚴重安全漏洞(CVE-2024-4577),可讓外人透過執行遠程編碼發動攻擊,並相信這個黑客是經這途徑成功入侵 LockBit 的伺服器。
更令人驚訝的是壓縮檔案中「users」數據表列出了 75 名管理員及合作成員的帳戶資料,而這些密碼竟以明文方式儲存,安全意識之薄弱令人慘不忍睹。部分密碼如「Weekendlover69」和「MovingBricks69420」更是簡單易破解,進一步暴露了該集團內部的管理混亂。這次事件無疑會令潛在「客戶」對與 LockBit 合作犯罪的信心大打折扣。
目前尚未有人承認發動這次攻擊,但專家就留意到這次事件與早前另一個針對 Everest 勒索軟件集團的攻擊方式極為相似,推測可能是同一黑客組織所為。至於黑客的真正目的,是純粹打擊競爭對手還是另有深意,暫時就不得而知,或許只有等這位無名氏現身才能解答。
