Здирницьке угруповання LockBit постраждало від витоку даних. Хтось зламав панелі адміністратора, призначені для партнерів групи, викрав дані, дефейснув адмінку і залишив послання: «Не скоюйте злочинів, ЗЛОЧИНИ ЦЕ ПОГАНИО, xoxo з Праги».

Нагадаємо, що від схожого зламу у квітні 2025 року постраждала інша хак-група – Everest. Тоді зловмисник залишив точно таке саме повідомлення на зламаному сайті, однак про крадіжку даних нічого не повідомлялося.

У випадку LockBit хакер прикріпив до свого повідомлення посилання на скачування архіву paneldb_dump.zip. Цей архів містить SQL-файл, отриманий із БД MySQL партнерської панелі адміністратора.

Як повідомило видання Bleeping Computer, сумарно дамп містить двадцять таблиць, зокрема:

-таблицю btc_addresses, що містить 59 975 унікальних біткоїн-адрес;
-таблицю builds, що містить окремі збірки, створені партнерами LockBit для атак. У рядках таблиці містяться публічні ключі, але немає приватних. Для деяких білдів також наведені назви цільових компаній-жертв;
-таблицю builds_configurations, яка містить різні конфігурації, які використовуються для кожної збірки, наприклад, які сервери ESXi пропускати або які файли шифрувати;
-таблицю chats, де можна прочитати 4442 повідомлення – переговори між здирниками та їхніми жертвами за період з 19 грудня 2024 року до 29 квітня 2025 року.
-таблицю users, у якій перераховано 75 адміністраторів і партнерів LockBit, що мали доступ до партнерської панелі. При цьому паролі хакерів зберігалися у відкритому вигляді (серед них: Weekendlover69, MovingBricks69420 і Lockbitproud231).

Судячи з часу створення MySQL-дампа й останнього запису про дату в таблиці chats, злом і витік сталися 29 квітня 2025 року.

Представник угруповання, відомий під ніком LockBitSupp, підтвердив факт злому, але повідомив, що обійшлося без витоку закритих ключів і втрати даних.

Наразі невідомо, хто може стояти за зламом LockBit і Everest, і які цілі переслідує цей хакер.