Le groupe LockBit vient d’essuyer un nouveau revers : son infrastructure sur le dark web a été compromise et défigurée. Un message moqueur, « Don’t do crime CRIME IS BAD xoxo from Prague », a remplacé leur affiliate panel, accompagné d’un lien permettant de télécharger un dump complet de leur base MySQL.
Cette fuite révèle des données internes sensibles : près de 60 000 adresses Bitcoin, des configurations de builds d’attaque, ainsi que 4 400 messages de négociation avec des victimes.
L’affiliate panel contenait également des mots de passe en clair utilisés par 75 affiliés et administrateurs, comme « Weekendlover69 » ou « Lockbitproud231 ». L’auteur de cette intrusion reste inconnu, bien que sa méthode évoque une attaque récente contre le groupe ransomware Everest.
Analyse de nos experts :
Cette brèche replace LockBit dans une position inconfortable, entre exposition opérationnelle et perte de crédibilité. Techniquement, la présence de mots de passe en clair et l’usage d’une version PHP vulnérable (CVE-2024-4577) reflètent une hygiène interne déplorable , ce qui est ironique pour un groupe qui revendique une expertise technique de haut niveau. Sur le plan stratégique, la publication des messages de négociation lève le voile sur les méthodes d’extorsion et l’organisation du réseau d’affiliés…
La suite dépendra de leur capacité à regagner la confiance de leurs affiliés, une tâche complexe quand son code back-end est public et que ses mots de passe ressemblent à des pseudos de forums pour ados.
Lire l’article complet ici.
