臭名昭著的LockBit勒索软件团伙近日遭遇"黑吃黑"事件。该组织用于管理勒索业务的暗网"分赃后台"突遭黑客入侵，系统面板被替换为"犯罪可耻"的嘲讽标语，更令人震惊的是，其核心数据库被完整打包泄露。

据 BleepingComputer 的深入挖掘分析，发现这个被泄露的数据库真是一块 “大宝藏”，包含了20个关键数据表，信息量巨大。其中，“btc_addresses” 表里藏着 59975 个独一无二的比特币地址，这很可能关联着众多勒索交易的资金流向，为追踪其经济脉络提供了关键线索。

再看 “builds” 表，这里面记录着由附属成员精心打造用于攻击的各类版本，虽然没挖到私密性极高的私钥，但公钥以及部分被攻击公司的名称赫然在列，让我们得以一窥其过往狩猎的目标范围，为受害者查找自身是否被波及、提前预警等提供了依据。

“builds_configurations” 表则像是一份操作指南，详细罗列了每次攻击版本所采用的不同配置情况，例如是否跳过特定的 ESXi 服务器、对哪些文件类型加密等细节，这有助于安全专家剖析其作案手法，以便后续构建更完善的防御体系。

最让人瞩目的当属 “chats” 表，它记录了从 2024 年 12 月 19 日到 2025 年 4 月 29 日，LockBit 勒索软件运营方与受害者之间多达 4442 条的谈判信息。这些谈判记录就像是打开了一扇窥探他们 “生意经” 的窗，能让我们了解到双方在勒索金额讨价还价、解密数据条件协商等环节的种种细节，为研究网络犯罪心理和谈判策略提供了极具价值的一手资料。

另外，“users” 表也暴露了不少猛料，涉及 75 位有权访问附属控制面板的管理员与附属成员信息，让人咋舌的是，密码居然以明文形式存储，像 “Weekendlover69”“MovingBricks69420”“Lockbitproud231” 这样的密码简直弱到让人怀疑生命，这也侧面反映出该团伙在自身网络安全防护上存在的巨大漏洞。

在 Tox 对话平台上，LockBit 的运营者 “LockBitSupp” 无奈承认了这次数据泄露事件，但强调没有私钥外泄，数据也未出现丢失。不过，这次泄露事件背后的始作俑者以及入侵手段目前尚不明确，不过，该篡改信息与之前另一起名为 Everest 勒索软件黑暗面被入侵时留下的信息风格相似，似乎暗示着可能是同一股神秘力量在背后搞鬼。

从技术层面挖掘发现，泄露的 phpMyAdmin SQL 转储文件显示，LockBit 的服务器运行着存在严重漏洞的 PHP 8.1.2 版本，这个漏洞被标记为 CVE-2024-4577，是种能够被网络攻击者利用来远程执行代码的高危漏洞，或许这次入侵就得益于这一弱点。

回顾2024年，一场名为 “克洛诺斯行动” 的大规模执法行动重创了 LockBit，当时警方一举端掉了 34 台承载其数据泄露网站及其镜像的服务器，大量被窃取的数据、加密货币地址、1000 枚解密密钥以及附属控制面板都被悉数拿下，可 LockBit 借着其深厚的根基，硬是重启了业务，恢复了运作。可这次的数据泄露，就像在它摇摇欲坠的声誉大厦上又重重地砸了一拳，至于这是否就是压垮它的最后一根稻草，目前还难以定论，但可以肯定的是，LockBit 在网络犯罪江湖的地位已然岌岌可危。

事实上，在勒索软件圈，LockBit 并非第一个遭此重创的。之前 Conti、Black Basta、Everest 等知名团伙也都经历过类似数据泄露的困境。

资讯来源：bleepingcomputer

转载请注明出处和本文链接