
گروه باجافزار LockBit هک شد!
در یکی از نادرترین اتفاقات در دنیای جرایم سایبری، گروه باجافزاری LockBit که سالها یکی از فعالترین و خطرناکترین تهدیدات سایبری بوده، هدف حمله قرار گرفته و دادههای داخلی آن از جمله مذاکرات با قربانیان افشا شده است.
ماجرا از چه قرار است؟
بر اساس گزارشی که سایت BleepingComputer آن را منتشر کرده، 17 اردیبهشت، کاربران و محققان امنیتی متوجه شدند که پنل مدیریتی LockBit در سایت این گروه در Dark Web پیام “Don’t do crime CRIME IS BAD xoxo from Prague” و لینکی برای دانلود فایل paneldb_dump.zip را نمایش میدهد.
این فایل پایگاه داده SQL داخلی این گروه است که اطلاعات بسیار حساسی از جمله چتهای مذاکره با قربانیان، نشانیهای بیتکوین و تنظیمات فایلهای باجافزار در آن وجود دارد. برخی جداول مهم این پایگاه داده شامل موارد زیر هستند:
- بیش از ۵۹ هزار نشانی بیتکوین که برای دریافت باج استفاده شدهاند.
- نسخههای مختلف ساختهشده توسط عوامل وابسته برای رمزگذاری سیستمها.
- بیش از ۴۴۰۰ پیام مذاکره بین قربانیان و گروه، از دسامبر ۲۰۲۳ تا آوریل ۲۰۲۵.
گروه LockBit کیست؟
گروه LockBit برای اولینبار در سال ۲۰۱۹ ظاهر شد و بهسرعت به یکی از قدرتمندترین تهدیدات باجافزاری در جهان تبدیل شد. این گروه با استفاده از مدل “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service – RaaS) به عوامل وابسته امکان میداد تا از پلتفرم آنها، در ازای دریافت سهمی از باجهای دریافتی، برای انجام حملات استفاده کنند.
LockBit، طی سالهای گذشته مسئول حملات متعددی به سازمانهای بزرگ، بیمارستانها، نهادهای دولتی و شرکتهای فناوری بوده و شهرت خود را به دلیل سرعت رمزگذاری بالا، ابزارهای سفارشی، و مذاکرههای تهاجمی بهدست آورده است.
این گروه در طول زمان نسخههای مختلفی از ابزار خود را منتشر کردهاند و از آنها برای آلودهسازی زیرساختهای حساس استفاده کردهاند.
در فوریه ۲۰۲۴، یوروپل (Europol) با همکاری چند کشور، عملیات بزرگی بهنام “Operation Cronos” را علیه گروه LockBit انجام داد که به توقیف سرورها، دامنهها، و بخشی از زیرساختهای این گروه منجر شد. در جریان این عملیات، اطلاعاتی درباره وابستگان و کلیدهای رمزگشایی برخی قربانیان نیز منتشر شد. هرچند LockBit پس از مدتی فعالیت خود را از سر گرفت، اما این اقدام بینالمللی ضربه بزرگی به ساختار و اعتبار این شبکه وارد کرد و زمینهساز تضعیف تدریجی آن شد.
چه کسی پشت این حمله است؟
در حال حاضر مشخص نیست چه کسی این پایگاه داده را بهدست آورده یا چگونه به آن دسترسی پیدا کرده است، اما تحلیلگران امنیتی احتمال میدهند که یا یک هکر مستقل، یا رقیب سایبری، یا حتی یک نهاد اطلاعاتی دولتی در پشت این اقدام باشد.
چرا این اتفاق مهم است؟
این نخستین بار نیست که گروهی باجافزاری هدف حمله قرار میگیرد، اما افشای این حجم از دادههای داخلی میتواند ضربه جدی به اعتماد عوامل وابسته به LockBit وارد کند. از سوی دیگر، کارشناسان امنیتی اکنون میتوانند با تحلیل این دادهها، درک بهتری از ساختار و عملکرد این گروه بهدست آورند و راهکارهایی برای مقابله مؤثرتر ارائه دهند.