De LockBit-ransomwaregroep is zelf slachtoffer geworden van een datalek, nadat hun affiliate-panelen op het dark web werden gehackt en voorzien van een boodschap met een link naar een MySQL-database dump.
Alle beheerpagina’s van de groep tonen nu de tekst: Doe geen misdaden. Misdaden zijn slecht. Groetjes uit Praag. Bij de tekst staan een downloadlink voor een bestand met de naam paneldb_dump.zip.
De dreigingsactor Rey merkte dit als eerste op. In het zip-bestand zit een SQL-bestand met een dump van de MySQL-database van het affiliatepanel.
Zestigduizend unieke bitcoin-adressen
Volgens een analyse van BleepingComputer bevat deze database twintig tabellen. Enkele daarvan zijn bijzonder interessant. Zo is er een tabel met bijna zestigduizend unieke bitcoin-adressen. In een andere tabel staan de afzonderlijke malware-builds die affiliates hebben aangemaakt voor aanvallen. Daarbij zijn soms ook de namen van doelwitten vermeld. De configuraties voor deze builds zijn ook opgeslagen, bijvoorbeeld welke ESXi-servers overgeslagen moesten worden. Of welke bestanden versleuteld moesten worden.
Een opvallende tabel bevat 4.442 berichten uit onderhandelingen tussen LockBit en hun slachtoffers, verstuurd tussen 19 december en 29 april. Een gebruikerslijst bevat daarnaast 75 beheerders en affiliates die toegang hadden tot het panel. Beveiligingsexpert Michael Gillespie ontdekte dat de wachtwoorden daarin in platte tekst zijn opgeslagen. Enkele voorbeelden zijn Weekendlover69, MovingBricks69420 en Lockbitproud231.
In een gesprek via Tox met Rey bevestigde de LockBit-operator LockBitSupp dat het lek echt is. Er gingen volgens hem geen privésleutels of gegevens verloren. Op basis van het tijdstip waarop het MySQL-bestand is aangemaakt en het laatste onderhandelingsbericht in de database, lijkt de dump te zijn gemaakt op 29 april 2025.
Verband met Everest-ransomwaregroep
Wie de aanval heeft uitgevoerd en hoe precies, is nog onbekend. De boodschap op de gehackte pagina komt echter overeen met die van een recente aanval op de dark web-site van de Everest-ransomwaregroep, wat zou kunnen wijzen op een verband. Uit de SQL-dump blijkt verder dat de server draaide op PHP 8.1.2. Die versie bevat een kritiek beveiligingslek (CVE-2024-4577) dat actief wordt misbruikt om op afstand code uit te voeren op servers.
In 2024 werd LockBit al zwaar getroffen door Operation Cronos, een internationale politieactie waarbij 34 servers, gestolen gegevens, cryptoadressen, duizend decryptiesleutels en het affiliatepanel in beslag werden genomen. Hoewel LockBit daarna wist te herstellen en weer actief werd, betekent dit nieuwe incident opnieuw een zware klap voor de toch al beschadigde reputatie van de groep.
Het is nog te vroeg om te zeggen of dit de definitieve ondergang van LockBit betekent, maar de schade loopt op. Andere ransomwaregroepen die eerder al te maken kregen met soortgelijke datalekken zijn onder meer Conti, Black Basta en Everest.