Hackere bryder ind i LockBit-banden og lækker næsten 60.000 Bitcoin-adresser

Tusindvis af Bitcoin-adresser knyttet til løsesumsbetalinger behandlet via LockBits netværk er blevet afsløret, efter at hackere har brudt gruppens affiliate-database.

Ifølge en rapport fra Bleeping Computer brød ukendte hackere LockBits dark web-infrastruktur, beskadigede dets affilierede paneler og delte offentligt en fil, der afslørede data fra gruppens interne operationer.

Den lækkede MySQL-database ser ud til at indeholde årelang ransomware-aktivitet, hvilket afslører detaljer knyttet til LockBits affiliate-styringssystem.

Blandt de mest betydningsfulde fund var næsten 60.000 Bitcoin-wallet-adresser, som menes at være knyttet til løsesumsbetalinger foretaget af ofre. Oplysningerne kan hjælpe med at spore, hvordan løsesumsmidlerne bevægede sig gennem LockBits infrastruktur.

Bruddet blev også bekræftet af en anonym LockBit-operatør, som antydet af en samtale delt af en X-bruger. Operatøren bekræftede dog, at der ikke var lækket private nøgler.

De lækkede data omfattede også optegnelser over ransomware-værktøjer skabt af LockBit-tilknyttede selskaber, detaljer om, hvordan specifikke systemer blev målrettet, og over 4.400 private forhandlingsbeskeder mellem gruppen og dens ofre, der strakte sig fra december 2024 til april 2025.

Det er stadig ukendt, hvem der udførte indbruddet, eller hvordan de fik adgang til LockBits backend-systemer.

Efterforskerne bemærkede dog, at en efterladt defacement-besked matcher en, der blev brugt i et nyligt indbrud på Everest ransomware-gruppens hjemmeside, hvilket tyder på en mulig forbindelse mellem de to hændelser.

En besked efterladt af LockBit-angribere. Kilde: Bleeping Computer

Dette brud kommer efter den større nedlukning af LockBits infrastruktur i februar 2024 under Operation Cronos, en koordineret indsats fra FBI, NCA, Europol og andre.

Under razziaen beslaglagde myndighederne 34 servere, 1.000 dekrypteringsnøgler og adgang til LockBits lækagesider, hvor de truer med at offentliggøre et offers stjålne data.

Banden formåede senere at genopbygge og genoptage aktiviteterne, men dette seneste kompromis forværrer deres tilbageslag og pletter yderligere deres omdømme.

Hvad er LockBit ransomware-banden?

LockBit er blandt de mest produktive ransomware-as-a-service (RaaS)-virksomheder, kendt for at målrette store virksomheder, hospitaler og kritisk infrastruktur. Siden de opstod i 2019, har de angiveligt afpresset over 500 millioner dollars fra mere end 2.500 ofre i 120 lande.

Blandt ofrene for gruppen er Boeing, Royal Mail UK, ICBC og Capital Health. Gruppens model gør det muligt for affilierede selskaber at udføre angreb ved hjælp af LockBits værktøjer og dele løsesummen med udviklerne.

I december 2024 anklagede amerikanske myndigheder Rostislav Panev, en dobbelt russisk-israelsk statsborger, for angiveligt at have arbejdet som udvikler for LockBit ransomware-gruppen. Han tjente angiveligt over $230.000 i kryptovaluta for sin rolle i at skabe ondsindede værktøjer, der blev brugt i angreb.

To andre russiske statsborgere, Artur Sungatov og Ivan Kondratyev, blev også tiltalt i USA for ransomware-angreb på amerikanske enheder.

I mellemtiden er LockBits formodede leder, Dmitry Khoroshev, stadig på fri fod. USA har udstedt en dusør på 10 millioner dollars for information, der fører til hans anholdelse.

Kryptoindustrien under angreb

Som tidligere rapporteret af Invezz, oversteg kryptohacks alene i første kvartal 1,6 milliarder dollars, hvilket gør det til det værste kvartal nogensinde for branchen.

Størstedelen af ​​disse tab kom fra to angreb på centraliserede børser, nemlig Bybit, som tabte 1,46 milliarder dollars, og Phemex, som blev hacket for 69,1 millioner dollars.

Mens DeFi-platforme kun tegnede sig for 6% af tabene i 1. kvartal, oplevede marts stadig 20 separate hændelser, herunder udnyttelser af Abracadabra.money, Zoth og ZkLend, i alt over 33 millioner dollars.