HackerNews 编译，转载请注明出处： LockBit 5.0 的核心基础设施遭到曝光，泄露的信息包括 IP 地址 205.185.116.233，以及用于托管该勒索软件组织最新泄露站点的域名 karma0.xyz。 安全研究员拉克什・克里希南透露，该服务器隶属于编号为 AS53667 的网络（即由 FranTech Solutions 运营的 PONYNET 网络），这一网络常被非法活动滥用。服务器显示的分布式拒绝服务（DDoS）防护页面带有 “LOCKBITS.5.0” 标识，证实其为该组织的运营资产。 此次运营安全漏洞曝光之际，LockBit 组织正凭借增强的恶意软件攻击能力卷土重来。 克里希南于 2025 年 12 月 5 日通过 X 平台（前身为推特）首次公开相关发现，指出该域名注册时间较新，且与 LockBit 5.0 的活动存在直接关联。 WHOIS 域名注册信息显示，karma0.xyz 注册于 2025 年 4 月 12 日，有效期至 2026 年 4 月，使用 Cloudflare 的域名服务器（iris.ns.cloudflare.com和tom.ns.cloudflare.com），并通过 Namecheap 的隐私保护服务将联系地址标注为冰岛雷克雅未克。 该域名状态显示 “禁止客户转移”，表明该组织在受到审查的情况下，正试图巩固对域名的控制权。 扫描结果显示，IP 地址 205.185.116.233 开放了多个端口，包括存在漏洞的远程访问端口，这使得服务器面临被入侵干扰的潜在风险。 端口号 协议 对应组件 21 TCP FTP 服务器 80 TCP Apache/2.4.58（Win64）OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg 3389 TCP 远程桌面协议（RDP）（设备名：WINDOWS-401V6QI） 5000 TCP HTTP 服务 5985 TCP Windows 远程管理（WinRM） 47001 TCP HTTP 服务 49666 TCP 文件服务器 其中，3389 端口的远程桌面协议（RDP）是高风险攻击入口，可能导致攻击者未经授权访问这台 Windows 主机。 LockBit 5.0 于 2025 年 9 月左右问世，支持 Windows、Linux 和 ESXi 操作系统，具备随机文件扩展名、基于地理位置的规避机制（跳过俄罗斯相关系统）等特性，并通过 XChaCha20 加密算法提升加密速度。 此次基础设施曝光凸显了该组织持续存在的运营安全漏洞。尽管 LockBit 多次遭到打击，但仍顽固活跃。防御方应立即封禁相关 IP 地址和域名，研究人员可对后续潜在泄露信息进行持续监控。   消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： LockBit勒索软件组织遭黑客入侵，其暗网后台基础设施数据被窃取并泄露。攻击者攻陷了该团伙的暗网泄密网站并篡改页面，发布警示信息及后台联盟面板MySQL数据库转储链接。 篡改后的页面显示“别犯罪，犯罪是坏事 xoxo来自布拉格”，并附有可下载“paneldb_dump.zip”的链接。该数据库包含20个核心表，涉及以下关键信息： 59,975个比特币地址：用于收取赎金的钱包清单 4,442条谈判记录：2024年12月19日至2025年4月29日期间，LockBit运营者与受害者之间的勒索对话 构建配置数据：包含目标公司名称、应规避加密的文件类型等攻击参数 75名成员信息：管理员及分支机构账户的明文密码（例如“Weekendlover69”等） LockBit头目“LockBitSupp”通过私聊承认入侵属实，但声称私钥和核心数据未泄露。安全研究人员发现，数据库中的构建配置表关联了特定受害者的公钥与私钥对，这为开发通用解密工具提供了可能。意大利网络安全专家Emanuele De Lucia分析指出，勒索金额根据目标估值动态调整，初始索要金额跨度从5万至150万美元不等，受害者顶级域名涉及埃塞俄比亚(.et)、日本(.jp)、巴西(.br)等国家地区。 此次攻击暴露了LockBit运营体系的脆弱性： 分支机构活跃度低下：44个生成加密器的账户中仅30个处于活跃状态，反映该组织实际攻击能力缩水 基础设施漏洞：与近期Everest勒索软件组织遭入侵事件类似，攻击者可能利用PHP 8.1.2的远程代码执行漏洞(CVE-2024-4577)实施入侵 内部安防缺失：明文存储密码、未隔离核心数据库等低级错误，凸显犯罪组织的运维缺陷 安全界认为这是继2024年2月国际执法机构“Cronos行动”后，对LockBit的又一次重创。泄露数据为追踪资金流向、归因攻击事件提供了关键线索，或将加速该犯罪集团的瓦解。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据称，一名51岁的俄罗斯和以色列双重国籍男子，是LockBit勒索软件集团的开发者，已被引渡至美国，距离他因与该网络犯罪计划相关的指控被正式起诉还不到三个月。 罗斯蒂斯拉夫·帕涅夫于2024年8月在以色列被捕。据称，他从2019年至2024年2月一直在为该勒索软件团伙工作，当时该团伙的在线基础设施在一次执法行动中被查封。 “罗斯蒂斯拉夫·帕涅夫被引渡到新泽西区表明：如果你是LockBit勒索软件阴谋的成员，美国会找到你并将你绳之以法，”美国检察官约翰·乔达诺说。 LockBit逐渐成为最活跃的勒索软件集团之一，攻击了全球至少120个国家的2500多个实体，其中近1800个位于美国。 受害者包括个人、小型企业到跨国公司，还有医院、学校、非营利组织、关键基础设施以及政府和执法机构。 该犯罪集团的网络犯罪活动已获得至少5亿美元的非法利润，给受害者造成了数十亿美元的损失，包括收入损失以及事件响应和恢复的成本。 作为LockBit的开发者，帕涅夫负责设计和维护锁定器的代码库，从2022年6月至2024年2月期间赚取了大约23万美元。 “帕涅夫承认他为LockBit集团完成的工作包括开发用于禁用防病毒软件的代码；向连接到受害者网络的多台计算机部署恶意软件；以及在连接到受害者网络的所有打印机上打印LockBit勒索信，”司法部表示。 “帕涅夫还承认编写和维护LockBit恶意软件代码，并向LockBit集团提供技术指导。” 除了帕涅夫外，还有六名LockBit成员在美国受到指控，包括米哈伊尔·瓦西里耶夫、鲁斯兰·阿斯塔米罗夫、阿图尔·松加托夫、伊万·根纳季耶维奇·孔德拉季耶夫、米哈伊尔·帕夫洛维奇·马特维耶夫和德米特里·尤里耶维奇·霍罗舍夫，其中霍罗舍夫也被确认为LockBit的管理员，使用网名LockBitSupp。 此外，霍罗舍夫、马特维耶夫、松加托夫和孔德拉季耶夫因参与网络攻击被美国财政部外国资产管制办公室（OFAC）制裁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日前，一名俄罗斯和以色列双重国籍男子在美国被起诉，涉嫌自2019年或更早开始，至2024年2月至少间歇性地参与开发已停运的LockBit勒索病毒即服务（RaaS）平台。 51岁的Rostislav Panev于今年8月在以色列被捕，当前正等待引渡，美国司法部（DoJ）在一份声明中表示。根据他加密货币钱包的资金转移记录，Panev在2022年6月至2024年2月期间赚取了约23万美元。 美国检察官Philip R. Sellinger表示：“Rostislav Panev多年致力于构建并维护数字武器，支持其LockBit同谋者进行全球破坏，造成数十亿美元的损失。” LockBit是全球最活跃的勒索病毒团伙之一，其基础设施在2024年2月被国际执法行动“Cronos”查封。该团伙因攻击全球至少120个国家的2500多个实体而声名狼藉，其中美国受害者多达1800个。 LockBit的攻击目标涵盖个人、小型企业、跨国公司、医院、学校、非营利组织、关键基础设施、政府和执法机构等多个领域。该RaaS平台估计为该团伙带来了至少5亿美元的非法收入。 法庭文件显示，Panev被捕后，调查人员分析了他的计算机，发现他拥有一个位于暗网的在线存储库管理员凭证，该存储库包含多个版本的LockBit构建器源代码，供附属成员用于创建定制版本的勒索病毒。 此外，调查人员还发现了LockBit控制面板的访问凭证和名为StealBit的工具，后者允许附属成员在加密操作前窃取受害主机的敏感数据。 除了编写和维护LockBit恶意代码外，Panev还被指控为该网络犯罪团伙提供技术支持，并与主要管理员Dmitry Yuryevich Khoroshev（网络别名LockBitSupp）通过直接消息交流，讨论构建器和控制面板的开发工作。 美国司法部表示：“在8月被以色列当局逮捕后的审讯中，Panev承认曾为LockBit团伙进行编码、开发和咨询工作，并因此定期收到加密货币支付。” “Panev承认，他为LockBit开发了禁用杀毒软件的代码；将恶意软件部署到多个连接受害者网络的计算机上；并将LockBit勒索信息打印到受害网络上的所有打印机。” 此次逮捕后，已有七名LockBit成员——Mikhail Vasiliev、Ruslan Astamirov、Artur Sungatov、Ivan Gennadievich Kondratiev、Mikhail Pavlovich Matveev——在美国被起诉。 尽管遭遇这些打击，LockBit的运营者似乎计划东山再起，预计2025年2月发布LockBit 4.0版本。但在持续的执法打击和起诉压力下，勒索团伙能否成功复出仍未可知。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据 The Cyber Express消息，臭名昭著勒索软件组织 LockBit 于9 月 18 日将美国在线报税服务 eFile.com 添加至受害者名单，要求在14天内支付赎金。eFile美国国税局（IRS）官方授权的税务申报平台。 人工智能驱动的威胁情报平台 Cyble 的研究人员表示，这次攻击LockBit 没有发布任何文件，通常勒索软件都会释放一些所窃取数据的样例来印证其真实性。 目前，除了14天的赎金支付期限，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。此外， eFile.com 官方网站仍然功能齐全。为了确认攻击的真实性，The Cyber Express 已经联系了 eFile 官员，目前尚未收到任何回复。 对于数百万依赖 eFile.com 报税的美国人来说，该服务一旦遭受攻击恐将面临潜在的严重。如果 LockBit 的攻击被证明属实，纳税人的个人和财务数据可能落入犯罪分子手中。这些数据可用于各种恶意活动，包括身份盗窃、税务欺诈和帐户接管。 据悉，早在两年前eFile就已经成为LockBit的目标。 2022 年 1 月 19 日，Lockbit 声称入侵了eFile.com，且该日期正好处了税务申报截点，表明网络犯罪分子有意针对流量高峰期，以最大限度地发挥破坏力。 而在2023年， eFile.com网站曾出现一个漏洞，让攻击者在其中植入了恶意 JavaScript，将用户重定向到恶意软件下载界面。 2023 年 eFile.com网站上的恶意软件下载诱导界面 该恶意软件被研究人员命名为“efail”，利用了报税平台中的漏洞，让攻击者可以访问敏感数据，包括纳税人的社会安全号码、家庭住址、收入信息和其他详细 个人信息。eFile在接到反馈的几天后删除了该恶意软件，但这一事件再次引发了人们对关键金融服务提供商网络安全措施水平的担忧。   转自Freebuf，原文链接：https://www.freebuf.com/news/411364.html 封面来源于网络，如有侵权请联系删除

乌克兰网络警察称，他们已经发现了一名与臭名昭著的 Conti 和 LockBit 勒索软件团伙有关联的当地黑客。 警方称，这名 28 岁的基辅居民专门从事加密器的开发，加密器是一种用于加密恶意软件的恶意工具，使防病毒软件更难检测和分析。 根据警方周三发布的声明，该男子向与俄罗斯有关的 Conti 和 LockBit 勒索软件组织有关的黑客出售自己的服务，以获得加密货币奖励。 乌克兰警方没有说明嫌疑人目前是否被拘留。该机构的发言人告诉 Recorded Future News，“目前正在进行调查行动，包括分析被扣押设备中包含的信息，以收集更多证据并识别可能参与犯罪的其他人员。” 荷兰警方上周发表声明称，该嫌疑人于 4 月在“终局行动”中被捕，该行动是针对僵尸网络的最大规模国际执法行动之一。当局关闭或破坏了 100 台犯罪分子使用的服务器，并查获了 2,000 多个恶意域名。 声明称：“荷兰调查部门对乌克兰的逮捕行动感到非常高兴，并感谢乌克兰警方在战争时期为此找到的空间。” LockBit是过去四年来最猖獗的勒索软件之一。其恶意软件已经破坏了全球数千家企业，其中包括波音公司和英国皇家邮政。 今年 2 月，警方关闭了该勒索网站，但犯罪分子很可能在 5 月重新启用了该网站。FBI 官员最近表示，美国当局拥有 7,000 多个解密密钥，可以帮助 LockBit 受害者恢复数据。 Conti因攻击美国医疗保健组织而闻名。2022 年，美国悬赏高达 1000 万美元，以获取有关任何担任 Conti 领导职务的个人的身份和位置的信息。 乌克兰警方称，这名乌克兰黑客据称使用加密器伪装的恶意软件于 2021 年底感染了荷兰和比利时公司的计算机网络。   转自E安全，原文链接：https://mp.weixin.qq.com/s/TrREozllofJF1mIAKQkfiQ 封面来源于网络，如有侵权请联系删除

LockBit勒索软件团伙声称已泄露据称从哥伦比亚特区保险、证券和银行部（DISB）窃取的1GB数据。 该组织声称拥有DISB、美国证券交易委员会（SEC）、特拉华州银行机构以及其他金融实体的800GB数据，并威胁称除非DISB支付赎金，否则将这些数据公开。 据称，这些数据疑似是在3月底针对数据服务商Tyler Technologies 的网络攻击期间从DISB的STAR系统客户端盗取的。 Tyler Technologies和DISB分别表示，此次攻击涉及对托管DISB STAR系统客户端数据的云环境进行未经授权的访问，导致该系统离线。 虽然在受感染的系统上部署了文件加密勒索软件，但Tyler一直致力于使用可用备份恢复环境和相关数据。 Tyler目前已证实，从STAR系统窃取的信息已在网上泄露，但尚未确定数据泄露的范围。承包商表示，可能泄露的信息可能包括姓名、出生日期、社会安全号码、驾驶执照号码和其他信息。 “我们已确认黑客获取系统信息的证据，并正在与第三方网络安全取证专家合作，以确定影响范围。截至4月18日，黑客已发布了他们声称从STAR系统获取的信息。”该公司表示。 Tyler还指出，它尚未确定在攻击中可能被盗的个人身份信息（PII），一旦识别过程完成，将开始通知相关个人。 LockBit网站相关信息截图 Tyler指出，这次攻击与2020年的勒索软件攻击暂无联系，2020年的攻击事件影响了公司内部网络和电话系统，并迫使其关闭了包括网站在内的多个系统。 总部位于德克萨斯州的Tyler Technologies提供财产税生命周期管理解决方案、公民服务解决方案、安全系统用于访问官方记录、监管解决方案以及综合纠错、案件管理和公共安全解决方案。   消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Crinetics 是一家以对药物发现和开发做出贡献而闻名的美国著名组织，该组织透露，它最近遭遇了网络攻击。一位官方发言人向《网络快报》表示，在发现员工账户中的可疑活动后，该公司迅速对 Crinetics 网络攻击做出了反应。 根据官方声明，Crinetics 立即启动了网络安全事件响应协议，对此事展开全面调查。 此外，该公司还聘请了第三方网络安全专家，并及时通知了执法机构。为了控制这种情况，Crinetics 还在整个组织内实施了强化的安全措施。 解码 Crinetics 网络攻击 在得知 Crinetics 遭受网络攻击后，《网络快报》立即向这家制药公司寻求见解。Crinetics 在回应中披露了发现漏洞后采取的主动措施。 在得知Crinetics遭受网络攻击后，《网络快报》立即进行了求证。在其回应中，Crinetics披露了发现漏洞后采取的主动措施。 “Crinetics最近发现了一名员工帐户中的可疑活动，并立即禁用该帐户。随后，Crinetics启动了网络安全事件响应流程，展开调查，聘请第三方网络安全专家提供支援，并通知了执法部门。此外，该公司还在全公司范围内实施了额外的安全措施，成功遏制了这一事件。”Crinetics 发言人告诉《网络快报》。 尽管受到了网络攻击，Crinetics向利益相关者保证，该事件不会扰乱其运营或损害与发现和研究相关的重要数据库。 “这一事件没有影响公司的运营或其发现和研究数据库。Crinetics 认真对待所有与安全相关的问题，我们致力于进行全面调查，目前正在进行中，并将提供所需的任何法律通知，”官员进一步补充道。 LockBit 勒索软件被击垮 LockBit勒索软件声称对Crinetics Pharmaceuticals进行了网络攻击。然而，这起事件发生在最近执法部门努力瓦解LockBit勒索软件组织的背景下。 由 FBI 牵头的一项名为“克罗诺斯行动”的协作计划对 LockBit 的基础设施造成了重大打击。通过拆除服务器、扣押源代码和破坏数据存储，当局对勒索软件集团的运营造成了严重打击。 对 LockBit 的打击行动跨越了国际边界，英国、美国和欧洲的执法机构查获了超过 35 台与该邪恶组织有关联的服务器。此外，当局还发现了大约 30,000 个与赎金支付相关的比特币钱包，揭示了犯罪集团的规模。 尽管取得了这些重大进展，但与 LockBit 的斗争仍在持续。当局已采取措施限制对知名加密货币交易所的 LockBit 相关账户的访问，但追踪和起诉附属机构仍面临挑战。LockBit 关键成员的难以捉摸的性质使彻底瓦解该集团的努力变得更加复杂。   转自安全客，原文链接：https://www.anquanke.com/post/id/294185 封面来源于网络，如有侵权请联系删除

LockBit组织声称对南非政府养老金机构(GPAA)的攻击负责，该攻击导致了养老金支付中断，阻碍了该组织的工作。 南非政府养老金机构管理政府雇员养老金基金(GEPF)的资金，该基金是非洲最大的养老金基金，为约170万政府雇员、退休人员及其家属提供服务。 LockBit组织声称对南非政府养老金机构(GPAA)的攻击负责，导致部分GPAA系统被入侵。初步调查显示数据泄露，并采取措施关闭和隔离受影响的网络区域。GPAA确认养老金支付系统未受影响，正在进行调查以确认数据泄露对GEPF的影响。  GEPF发言人表示，正在与GPAA和南非国家财政部合作，以确认涉嫌数据泄露的真实性和影响，并承诺稍后提供更多信息。 此前，当地媒体报道称，自2月12日以来，养老金领取者一直没有支付，GPAA办公室因“试图未经授权访问该组织的系统”而于2月16日至21日关闭。地区办事处的服务已恢复。GEPF已向员工和养老金领取者保证福利和个人信息的安全，并坚称管理系统并未受到损害。   转自安全客，原文链接：https://www.anquanke.com/post/id/293946 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： LockBit 勒索软件组织扩大影响范围，受害者包括美国的STOCK Development、比利时的Smulders、美国的United Notions Inc.、德国的STARK Power GmbH、德国的SCHÜTT & GRUNDEI、德国的Röhr + Stolberg GmbH、美国的航空航天公司和德国埃索集团。LockBit勒索软件团伙尚未披露网络攻击背后的动机、数据泄露的程度以及数据泄露的方法等细节。 LockBit 勒索软件组织的索赔尚不明确 尽管目标公司的官方网站正常运行且没有发现不法行为迹象，但这引发了对LockBit网络攻击的怀疑。考虑到LockBit的历史记录，现阶段驳回指控还为时过早。 网站信息截图 最近，LockBit勒索软件组织声称在其数据泄露页面上列出了12名新受害者，并参与了有关夺取其网站的讨论。 夺取其网站的相关报道是打击网络犯罪的重要里程碑，司法部与国际执法机构合作扰乱了LockBit的运营。 此次协调行动涉及英国国家犯罪局网络部门、联邦调查局（FBI）和其他合作伙伴。通过控制LockBit的基础设施，包括面向公众的网站和服务器，执法部门有效地削弱了该组织进行进一步攻击并威胁发布被盗数据来勒索受害者的能力。 此外，执法当局还获得了解密密钥，使受害者能够重新访问其加密数据。 LockBit 的回应：挑衅性消息 为了回应此次删除，LockBit管理员发布了一条长消息，探讨他们最近的活动和动机。该消息带有挑衅性的语气，试图抹黑执法机构。 尽管LockBit的运营受到了干扰，但最近的声明表明，该勒索软件组织已经以增强的技术和功能重新出现。 LockBit往期报道： LockBit 勒索软件卷土重来，在警方破坏后恢复了服务器 美国悬赏 1500 万美元寻找 LockBit 勒索软件团伙的信息 LockBit 团队称对 12 月芝加哥社区医院遭受的网络攻击负责 消息来源：thecyberexpress，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文