แก๊งแรนซัมแวร์ LockBit โดนแฮก ! ข้อมูลการเจรจากับเหยื่อรั่วไหลสู่สาธารณะ

การฝังมัลแวร์สำหรับเรียกค่าไถ่ หรือแรนซัมแวร์ (Ransomware) นั้น จุดประสงค์ก็มักจะเป็นไปตามชื่อคือ กรรโชกทรัพย์จากเหยื่อแลกกับข้อมูล แต่รายละเอียดเบื้องหลังจะเป็นอย่างไรนั้น ? ขณะนี้ได้มีผู้เชี่ยวชาญมาทำการเปิดโปงแล้ว

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงเหตุการณ์ที่กลุ่มแฮกเกอร์คุณธรรม หรือ White Hat Hacker ที่ไม่ทราบชื่อกลุ่มหนึ่งได้เข้าทำการแฮกเข้าฐานข้อมูล (Database) ของกลุ่มอาชญากรที่ปล่อยแรนซัมแวร์ LockBit แล้วได้ทำการแฮกหน้าเพจของกลุ่มผู้เกี่ยวข้อง (Affliliate) ของทาง LockBit กลุ่มหนึ่งที่ตั้งอยู่บนเครือข่ายอินเทอร์เน็ตแบบหัวหอม (Onion Network) โดยหน้าเพจที่ถูกแฮกนั้นทางแฮกเกอร์คุณธรรมได้ทำการแปะข้อความไว้ว่า "Don't do crime CRIME IS BAD xoxo from Prague" หรือ “การก่ออาชญากรรมมันเป็นสิ่งไม่ดี อย่าหาทำ ด้วยรัก จาก ปราก” พร้อมทั้งได้วางลิงก์ที่รวบรวมข้อมูลทั้งหมดที่ถูกแฮกมาจากฐานข้อมูลในรูปแบบไฟล์สำหรับ MySQL ในรูปแบบไฟล์บีบอัดนามสกุล .Zip ที่มีชื่อว่า paneldb_dump.zip

ภาพจาก : https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/

ทางผู้เชี่ยวชาญที่ทำงานให้กับแหล่งข่าวนั้นได้นำไฟล์ดังกล่าวมาวิเคราะห์ ซึ่งพบว่าภายในฐานข้อมูลนั้นประกอบด้วยข้อมูลมากมายหลายอย่างด้วยกัน นั่นคือ

• Btc_addresses ซึ่งรวมที่อยู่ของกระเป๋าเงิน Bitcoin ที่มีมากถึง 59,975 ที่อยู่
• Builds เป็นข้อมูลบนตารางที่บ่งบอกรุ่น (Builds) ของตัวแรนซัมแวร์ ที่แฮกเกอร์นำมาใช้ โดยข้อมูลนั้นยังมีส่วนของ Public Key ในการเข้ารหัสไฟล์ต่าง ๆ อีกด้วย แต่น่าเสียดายที่ไม่มีข้อมูลในส่วนของ Private Key สำหรับใช้ในการเข้าถึงไฟล์ที่ถูกเข้ารหัสโดยตัวมัลแวร์ ในบางรุ่นยังมีรายชื่อของบริษัทที่ตกเป็นเป้าหมายอีกด้วย
• Builds_configurations ตารางที่รวบรวมข้อมูลการตั้งค่าของมัลแวร์แต่ละรุ่นที่ใช้
• Chats เป็นบันทึกข้อมูลการสนทนาเพื่อเจรจาการจ่ายค่าไถ่กับเหยื่อ โดยมีจำนวนมากถึง 4,442 บทสนทนาเจรจาต่อรอง โดยข้อมูลสามารถสืบย้อนไปได้ถึงวันที่ 19 ธันวาคม ค.ศ. 2024 (พ.ศ. 2567) จนถึงวันที่ 29 เมษายน ปีนี้

ภาพจาก : https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/

• Users รวบรวมข้อมูลของผู้ดูแลระบบ (Admin หรือ Administrator) และผู้เกี่ยวข้อง (Affiliate) ต่าง ๆ โดยมีจำนวนมากถึง 75 รายชื่อ นอกจากนั้นทางทีมวิเคราะห์ยังได้พบว่าบางรายชื่อนั้นมีการบันทึกรหัสผ่าน (Password) สำหรับเข้าใช้งานในรูปแบบข้อความธรรมดา (Plaintext) อีกด้วย

ทั้งนี้ทางทีมข่าวนั้นไม่ได้เปิดเผยถึงข้อมูลการเจรจาในเชิงรายละเอียดแต่อย่างใด ซึ่งคาดว่าอาจเป็นการรักษาความเป็นส่วนตัวของเหยื่อ และทางกลุ่มอาชญากร LokBit ก็ยังออกมาเปิดเผยอีกว่า การรั่วไหลของข้อมูลเหล่านี้ ไม่ได้มี Private Key รั่วไหลแต่อย่างใด และข้อมูลที่ถูกยึดไว้ก็ยังอยู่กับทางแก๊งอย่างครบถ้วน

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv