LockBitランサムウェアグループがハッキング被害　被害組織とのやり取りやビットコインアドレスが漏洩

佐々山 Tacos

2025.05.08

LockBitランサムウェアグループがハッキング被害　被害組織とのやり取りやビットコインアドレスが漏洩

BleepingComputer – May 7, 2025

LockBitランサムウェアグループがデータ侵害に遭ったとの報道。ダークウェブ上のアフィリエイト向けパネルが改ざんされ、「Don’t do crime CRIME IS BAD xoxo from Prague」というメッセージとともにMySQLデータベースのダンプファイル（paneldb_dump.zip）へのリンクが掲載されるようになっているという。

このアーカイブファイルには、アフィリエイトパネルのMySQLデータベースからダンプされたSQLファイルが入っており、BleepingComputerが分析したところによると、この中には以下を含む20件のテーブルが含まれるとされる。

「btc_addresses」：59,975件（重複なし）のビットコインアドレスが含まれるテーブル。
「builds」：アフィリエイトがそれぞれの攻撃のために作成した個々のビルドを含むテーブル。テーブルの行には公開鍵が含まれるが、秘密鍵は含まれていない。一部のビルドに関しては、標的となった企業の名称も掲載されている模様。
「builds_configurations」：どのESXiサーバーをスキップするか、どのファイルを暗号化するか、など、各ビルドに使われたコンフィグレーションが含まれるテーブル。
「chats」：12月19日から4月29日までにLockBitグループと被害組織との間で交わされた交渉メッセージ4,442件を含むテーブル。
「users」：アフィリエイトパネルへのアクセスを有していた管理者およびアフィリエイト75人が掲載されたテーブル。パスワードは平文で保存されており、「Weekendlover69」、「MovingBricks69420」、「Lockbitproud231」などのパスワードが見受けられたと報告されている。

この件を最初に発見したのは脅威アクターの「Rey」で、同アクターは「LockBitSupp」として知られるLockBitのオペレーターとのToxでのやり取りをXに投稿している。これによると、LockBitSuppはビットコインアドレスと交渉メッセージが盗み出されたと述べてデータ侵害について認めている模様。ただ、ランサムウェア攻撃で窃取した企業データや秘密鍵、ソースコードは無事だったとされる。

このダンプ（paneldb_dump.zip）が生成された日時と、「chats」テーブル内の最新の日付から、データベースがダンプされたのは2025年4月29日であるとみられている。その後、アフィリエイトパネルの改ざんは5月7日に実施された。

この侵害が何者によって、どのように行われたのかは現時点で不明。ただ、先月Everestランサムウェアのダークウェブサイトが侵害・改ざんされた際にも同様のメッセージ「Don’t do crime CRIME IS BAD xoxo from Prague」が使われていたことから、両インシデントは関連している可能性もある。またダンプファイルからは、パネルのサーバーに使われていたPHPがPHP 8.1.2だったことが明らかになっているが、これは重大な脆弱性CVE-2024-4577に脆弱なバージョン。攻撃での悪用事例もすでに報告されており、悪用が成功した場合はサーバー上でのリモートコード実行が可能になる。

LockBitといえば2024年に法執行機関によりテイクダウンされるもその後再建し、活動を再開していたが、今回データ侵害に遭ったことですでに傷の付いたレピュテーションにさらなる打撃が加わることが予想されるとのこと。