Situs web ransomware LockBit diretas, database dan kunci Bitcoin bocor

Sekelompok yang mengaku berasal dari Praha tampaknya telah membajak panel dark web LockBit dan membocorkan data sensitif, termasuk sistem internalnya dan dompet Bitcoin.

LockBit, salah satu geng ransomware yang paling terkenal, tampaknya telah diretas oleh seseorang yang mengaku berasal dari Praha, yang membocorkan data internal dan meninggalkan pesan yang mengejek kelompok tersebut.

Analis dari perusahaan keamanan blockchain SlowMist mengungkapkan dalam sebuah pos blog pada hari Kamis bahwa paket data yang bocor termasuk lebih dari 60.000 alamat Bitcoin (BTC), sekitar 75 kredensial pengguna, dan log negosiasi tebusan. Salah satu catatan bahkan menunjukkan kemungkinan tebusan dibayar dari akun Coinbase.

Antarmuka web internal LockBit | Sumber: SlowMist Para penyerang juga tampaknya telah mendapatkan akses ke platform manajemen berbasis PHP ringan yang digunakan oleh LockBit.

“[…] kami berspekulasi bahwa peretas dari ‘Prague’ kemungkinan mengeksploitasi kerentanan PHP 0-day atau 1-day untuk mengkompromikan backend web dan konsol manajemen.”

SlowMist

LockBit kemudian merespons dalam bahasa Rusia di saluran resminya. Ketika ditanya apakah grup tersebut telah “pwned,” LockBit mengklaim bahwa “hanya panel ringan dengan kode otorisasi yang dilanggar,” meyakinkan bahwa “tidak ada dekriptor yang dicuri, dan tidak ada data perusahaan yang terpengaruh.”

Percakapan negosiasi tebusan | Sumber: SlowMistKetika ditanya apakah peretasan itu akan merusak reputasinya, LockBit mengakui bahwa itu “mempengaruhi” reputasinya, tetapi menegaskan kembali bahwa kode sumber “tidak dicuri” dan bahwa kelompok tersebut “sudah bekerja pada pemulihan.” Ironisnya, LockBit kini menawarkan hadiah untuk informasi tentang peretas, meskipun pemerintah AS sebelumnya telah menawarkan hingga $15 juta dalam bentuk hadiah untuk informasi tentang anggota LockBit.