LockBit kompromitteret

Eskil Sørensen

05.09.2025 10:11

Internt datalæk afslører ransomware-gruppens aktiviteter.

Ransomwaregruppen LockBit er blevet ramt af et angreb mod eget infrastruktursystem. Ukendte aktører har kompromitteret gruppens sider på Dark Web og offentliggjort et databaseudtræk fra deres interne system til håndtering af ’samarbejdspartnere’ de såkaldte affiliates, som i realiteten er brugere eller kunder af LockBits ransomware-as-a-service.

Det skriver Bleeping Computer.

Databasen, som blev tilgængelig via en defacement af LockBits affiliate-panel, indeholder bl.a.:

Over 4.400 forhandlingsbeskeder mellem LockBit og ofre i perioden fra december 2024 til april 2025
Konfigurationer af malware og angrebsmål
Ca. 60.000 bitcoin-adresser
Brugeroplysninger på 75 affiliates – herunder adgangskoder gemt i klartekst

Bleeping Computer skriver, at lækket giver et usædvanligt indblik i gruppens drift og afslører interne sikkerhedsbrister, som ”næppe styrker deres troværdighed over for samarbejdspartnere”.

En revne i facaden

Det ser ud til, at serveren bag affiliate-panelet kørte PHP 8.1.2 – en version, der er sårbar over for CVE-2024-4577, som tillader fjernudførelse af kode. Det er endnu uklart, om netop denne sårbarhed blev brugt, men metoden ligner tidligere angreb på andre grupper, fremgår det.

LockBit har tidligere været mål for internationale politiaktioner, senest Operation Cronos i 2024. Dengang blev deres infrastruktur beslaglagt, men gruppen genopstod hurtigt. Det aktuelle brud føjer sig til en række sår, som potentielt kan underminere deres fremtidige aktiviteter.

Selvom LockBit stadig er operationel, tyder denne hændelse på interne svagheder og mulige samarbejdskonflikter, peger Bleeping Computer på. Databruddet kan få konsekvenser for både deres ofre og samarbejdspartnere – og det skaber nye muligheder for analyse af trusselsaktører og angrebsmønstre.

Set i lyset af, at der i mindre grad anvendes kryptering til ransomwareaktiviteter, kan det være, at LockBits R-a-a-S-system ikke længere nyder den store efterspørgsel. Det og presset fra myndighederne kan have medført, at LockBit har svært ved at holde på sine medarbejdere og holde sine systemer up-to-date.

Men det er naturligvis blot spekulation.

Læs mere

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/

Information