LockBit, jeden z nejznámějších ransomwarových gangů poslední dekády, se opět stal obětí hackerského útoku. Tentokrát však nešlo o akci státních složek, ale zřejmě o dílo jiných kyberzločinců. Výsledkem je zneuctění jejich darkwebového systému a zveřejnění rozsáhlé databáze s citlivými informacemi – včetně záznamů z vyjednávání s oběťmi.

"Crime is bad": vzkaz z Prahy

Po útoku začaly všechny affiliate panely LockBitu zobrazovat jedinou zprávu: „Don’t do crime. CRIME IS BAD. xoxo from Prague.“ Spolu s tím byla zveřejněna i ke stažení databáze „paneldb_dump.zip“, která obsahuje SQL výpis z jejich interního systému.

Za upozornění na únik údajně stojí jiný aktér z podsvětí s přezdívkou Rey, který také potvrdil, že data pocházejí z reálného serveru LockBitu. Skupina sama později autenticitu úniku potvrdila.

Úniky, které bolí

Podle serveru BleepingComputer databáze obsahuje:

• téměř 60 000 jedinečných bitcoinových adres,
• veřejné klíče používané při šifrování (bez soukromých klíčů),
• specifické buildy ransomwaru generované jednotlivými partnery,
• jména obětí,
• a především: záznamy komunikace mezi útočníky a jejich cíli v období od 19. prosince 2024 do 29. dubna 2025.

Součástí systému byl podle všeho phpMyAdmin běžící na verzi PHP 8.1.2, která je zranitelná vůči známé chybě CVE-2024-4577. Ta umožňuje vzdálené spuštění kódu a byla již dříve zneužita ve volné přírodě. Právě tato slabina mohla být vstupní branou pro útočníky.

Kdo za tím stojí?

Doposud se k útoku nikdo nepřihlásil. Spekuluje se ale, že by mohlo jít o stejné útočníky, kteří před nedávnem zničili web jiného ransomwarového gangu – Everest. Styl zpráv a způsob útoku nese podobné znaky.

Útok je dalším tvrdým úderem pro skupinu, která byla už v únoru 2024 zasažena mezinárodní policejní operací s krycím jménem Operation Cronos. Tehdy došlo k zabavení webové infrastruktury LockBitu, zajištění dat a následným zatčením několika osob napojených na gang v Polsku, Ukrajině, Francii a Velké Británii.

Zdroj: Shutterstock

Americké ministerstvo spravedlnosti tehdy také obvinilo dva ruské občany – Artura Sungatova a Ivana Kondratyeva (alias „Bassterlord“) – z aktivního nasazení ransomwaru LockBit. Oba muži jsou ve vazbě a čekají na soud. Další klíčová osoba, provozovatel tzv. „bulletproof hostingu“ využívaného gangem, byla zadržena ve Španělsku.

Slábne vliv LockBitu?

Ačkoliv se LockBit v minulosti dokázal z podobných incidentů rychle vzpamatovat, opakované údery na jejich infrastrukturu, včetně zveřejnění vyjednávacích záznamů s oběťmi, mohou mít dlouhodobé následky. Především ztráta důvěry mezi affiliate partnery – tedy těmi, kteří ransomware šířili výměnou za podíl z výkupného – může vést k výraznému oslabení celé sítě.

Zveřejněná komunikace navíc umožní bezpečnostním expertům a možná i obětem lépe porozumět metodám vyjednávání, šifrovacím strategiím i celkovému fungování skupiny. To by mohlo výrazně pomoci v prevenci i při vyšetřování dalších případů.