LockBit se fait hacker : les échanges avec les victimes dévoilés par une fuite de données !
L'arroseur arrosé : l'infrastructure du groupe de ransomware LockBit a été compromise ! Des données ont été exposées par les pirates à l'origine de cette intrusion. Voici ce que l'on sait.
Le groupe de cybercriminels LockBit, déjà affaibli par des opérations policières internationales, vient de subir une attaque ! Son interface d'administration accessible via le dark web a été piraté et remplacé par un message moqueur contenant un lien vers une base de données MySQL dérobée.
En effet, l'interface d'administration utilisée par les affiliés de LockBit affichent désormais le message suivant : "Don't do crime CRIME IS BAD xoxo from Prague", que l'on peut traduire en "Ne commets pas de crimes, LES CRIMES C'EST MAL, bisous de Prague." Cette phrase est accompagnée d’un lien vers une archive ZIP intitulée paneldb_dump.zip. Ce fichier contient une base de données extraite du panneau des affiliés de LockBit, révélant les coulisses de ce gang... Ces données seraient datées du 29 avril 2025.
Que contient la fuite de données LockBit ?
La base de données présente dans cette fuite de données contient 20 tables. Plusieurs d'entre elles méritent une attention particulière, notamment la table btc_addresses puisqu'elle recense 59 975 adresses bitcoin uniques, probablement utilisées pour recevoir les rançons !
Par ailleurs, la table builds mentionne les versions du ransomware générées par les affiliés, avec, pour certaines, les noms des entreprises ciblées. La table builds_configurations quant à elle contient des paramètres techniques sur les attaques, comme les serveurs ESXi à éviter ou les fichiers à chiffrer avec le ransomware.
Ce n'est pas tout ! Dans cette base de données, il y a une table nommée chats qui pourrait être riche en enseignement puisqu'elle contient 4 442 messages de négociation entre LockBit et ses victimes, échangés entre le 19 décembre et le 29 avril. Enfin, la table users recense 75 administrateurs et affiliés ayant eu accès à cette interface d'administration. Fait assez drôle : les mots de passe sont stockés en clair, d'après l'analyse de Michael Gillespie. Parmi eux : Weekendlover69, MovingBricks69420 et Lockbitproud231.
LockBit : un groupe déjà fragilisé par les forces de l’ordre
Ce piratage intervient un peu plus d’un an après l'Operation Cronos, une vaste offensive menée, en 2024, par les forces de l'ordre à l'internationale. Grâce à cette opération, une partie de l’infrastructure de LockBit avait pu être démantelée, notamment via la saisie de 34 serveurs et de clés de déchiffrement. Malgré cela, LockBit avait réussi à se réorganiser et à reprendre ses activités.
Cette nouvelle attaque, dont l’origine reste incertaine, est un nouveau coup dur pour LockBitSupp et tous les affiliés de LockBit. Enfin, nous pouvons rappeler que ce n'est pas le premier groupe de cybercriminels à être lui-même victime d'une attaque. Conti, Black Basta et Everest ont déjà connu un sort similaire.
