Hackers vulneran al grupo LockBit y filtran casi 60.000 direcciones de Bitcoin

Miles de direcciones de Bitcoin vinculadas a pagos de rescate procesados a través de la red de LockBit han quedado expuestas después de que piratas informáticos vulneraran la base de datos de afiliados del grupo.

Según un informe de Bleeping Computer, hackers desconocidos vulneraron la infraestructura de la dark web de LockBit, desfiguraron sus paneles de afiliados y compartieron públicamente un archivo que exponía datos de las operaciones internas del grupo.

La base de datos MySQL filtrada parece incluir años de actividad de ransomware, revelando detalles relacionados con el sistema de gestión de afiliados de LockBit.

Entre los hallazgos más significativos se encuentran casi 60.000 direcciones de billeteras Bitcoin, que se cree están vinculadas a los pagos de rescate realizados por las víctimas. Esta información podría ayudar a rastrear cómo se movieron los fondos del rescate a través de la infraestructura de LockBit.

La brecha también fue confirmada por un operador anónimo de LockBit, según sugiere una conversación compartida por un usuario de X. Sin embargo, el operador confirmó que no se filtraron claves privadas.

Los datos filtrados también incluían registros de las herramientas de ransomware creadas por afiliados de LockBit, detalles sobre cómo se atacaron sistemas específicos y más de 4.400 mensajes privados de negociación entre el grupo y sus víctimas, que abarcan desde diciembre de 2024 hasta abril de 2025.

Aún se desconoce quién llevó a cabo la brecha o cómo obtuvo acceso a los sistemas internos de LockBit.

Sin embargo, los investigadores observaron que el mensaje de vandalismo dejado coincide con uno utilizado en una reciente intrusión en el sitio del grupo de ransomware Everest, lo que sugiere una posible conexión entre los dos incidentes.

Un mensaje dejado por los atacantes de LockBit. Fuente: Bleeping Computer

Esta brecha se produce después del importante desmantelamiento de la infraestructura de LockBit en febrero de 2024 en el marco de la Operación Cronos, un esfuerzo coordinado por el FBI, la NCA, Europol y otros.

Durante la redada, las autoridades incautaron 34 servidores, 1.000 claves de descifrado y acceso a los sitios de filtración de LockBit, donde amenazan con publicar los datos robados de las víctimas.

La banda logró posteriormente reconstruirse y reanudar sus actividades, pero este último golpe profundiza sus reveses y empaña aún más su reputación.

¿Qué es el grupo de ransomware LockBit?

LockBit se encuentra entre los grupos de ransomware como servicio (RaaS) más prolíficos, conocidos por atacar a grandes corporaciones, hospitales e infraestructuras críticas. Desde su aparición en 2019, se informa que ha extorsionado más de 500 millones de dólares a más de 2.500 víctimas en 120 países.

Entre las víctimas atacadas por el grupo se encuentran Boeing, Royal Mail UK, ICBC y Capital Health. El modelo del grupo permite a los afiliados llevar a cabo ataques utilizando las herramientas de LockBit, dividiendo el rescate con los desarrolladores.

En diciembre de 2024, las autoridades estadounidenses acusaron a Rostislav Panev, un ciudadano con doble nacionalidad rusa e israelí, de presuntamente trabajar como desarrollador para el grupo de ransomware LockBit. Se informa que ganó más de 230.000 dólares en criptomonedas por su papel en la creación de herramientas maliciosas utilizadas en los ataques.

Otros dos ciudadanos rusos, Artur Sungatov e Ivan Kondratyev, también fueron acusados en Estados Unidos por ataques de ransomware contra entidades estadounidenses.

Mientras tanto, el presunto líder de LockBit, Dmitry Khoroshev, sigue en libertad. Estados Unidos ha ofrecido una recompensa de 10 millones de dólares por información que conduzca a su arresto.

La industria de las criptomonedas bajo ataque.

Como informó anteriormente Invezz, los ciberataques a criptomonedas solo en el primer trimestre superaron los 1.600 millones de dólares, convirtiéndolo en el peor trimestre registrado para el sector.

La mayoría de estas pérdidas provinieron de dos ataques a exchanges centralizados, a saber, Bybit, que perdió 1.460 millones de dólares, y Phemex, que fue hackeado por 69,1 millones de dólares.

Si bien las plataformas DeFi representaron solo el 6% de las pérdidas del primer trimestre, marzo registró 20 incidentes separados, incluyendo exploits en Abracadabra.money, Zoth y ZkLend, por un total de más de 33 millones de dólares.