Die Ransomware-Gruppe LockBit hat einen weiteren Schlag erlitten: Ihre Infrastruktur im Dark Web wurde kompromittiert und manipuliert. Anstelle des Affiliate Panels erschien eine spöttische Nachricht, „Don’t do crime CRIME IS BAD xoxo from Prague“, zusammen mit einem Link zu einem vollständigen Dump ihrer MySQL-Datenbank.
Das Leck offenbart sensible interne Informationen: fast 60.000 Bitcoin-Adressen, Konfigurationen von Angriff-Builds sowie 4.400 Nachrichten aus Verhandlungen mit Opfern.
Im Affiliate Panel fanden sich zudem Klartext-Passwörter von 75 Affiliates und Administratoren, etwa „Weekendlover69“ oder „Lockbitproud231“. Wer hinter dem Angriff steckt, ist unklar – der Stil erinnert jedoch stark an einen kürzlichen Vorfall bei der Ransomware-Gruppe Everest.
Analyse unserer Experten:
Dieser Vorfall bringt LockBit erneut in eine unangenehme Lage – zwischen operativer Bloßstellung und Reputationsverlust. Die technischen Schwächen, etwa Klartext-Passwörter und der Einsatz einer verwundbaren PHP-Version (CVE-2024-4577), zeigen ein erstaunlich schlechtes internes Sicherheitsniveau – besonders ironisch für eine Gruppe, die mit technischer Exzellenz prahlt. Strategisch gewährt das Leck der Verhandlungsnachrichten seltene Einblicke in die Erpressungstaktiken und die Struktur des Affiliate-Netzwerks.
Ob dies das Ende von LockBit einläutet oder nur eine Pause bedeutet, hängt davon ab, ob die Gruppe das Vertrauen ihrer Affiliates zurückgewinnen kann, eine echte Herausforderung, wenn der eigene Back-End-Code öffentlich ist und die Passwörter wie Gamer-Namen aus Jugendzeiten klingen.
Den vollständigen Artikel finden Sie hier.
