Gli hacker violano la banda LockBit, diffondendo quasi 60.000 indirizzi Bitcoin.

Migliaia di indirizzi Bitcoin legati a pagamenti di riscatto elaborati tramite la rete di LockBit sono stati esposti dopo che gli hacker hanno violato il database degli affiliati del gruppo.

Secondo un rapporto di Bleeping Computer, hacker sconosciuti hanno violato l'infrastruttura dark web di LockBit, deturpato i suoi pannelli affiliati e condiviso pubblicamente un file che espone dati sulle operazioni interne del gruppo.

Il database MySQL trapelato sembra contenere anni di attività di ransomware, rivelando dettagli legati al sistema di gestione degli affiliati di LockBit.

Tra le scoperte più significative figurano quasi 60.000 indirizzi di portafogli Bitcoin, ritenuti collegati ai pagamenti di riscatto effettuati dalle vittime.

Queste informazioni potrebbero aiutare a tracciare il flusso dei fondi del riscatto attraverso l'infrastruttura di LockBit.

La violazione è stata confermata anche da un operatore anonimo di LockBit, come suggerito da una conversazione condivisa da un utente di X. Tuttavia, l'operatore ha confermato che nessuna chiave privata è stata divulgata.

I dati trapelati includevano anche registri degli strumenti ransomware creati dagli affiliati di LockBit, dettagli su come sono stati presi di mira sistemi specifici e oltre 4.400 messaggi di negoziazione privati tra il gruppo e le sue vittime, che vanno da dicembre 2024 ad aprile 2025.

Non si sa ancora chi abbia effettuato la violazione né come abbia ottenuto accesso ai sistemi backend di LockBit.

Tuttavia, gli investigatori hanno notato che il messaggio di deturpazione lasciato sul posto corrisponde a uno utilizzato in una recente violazione del sito del gruppo ransomware Everest, suggerendo una possibile connessione tra i due incidenti.

Un messaggio lasciato dagli attaccanti di LockBit. Fonte: Bleeping Computer

Questa violazione avviene dopo il significativo smantellamento dell'infrastruttura di LockBit nel febbraio 2024 nell'ambito dell'Operazione Cronos, uno sforzo coordinato da FBI, NCA, Europol e altri.

Durante il raid, le autorità hanno sequestrato 34 server, 1.000 chiavi di decrittazione e l'accesso ai siti di fuga di LockBit, dove minacciano di pubblicare i dati rubati alle vittime.

La banda in seguito riuscì a ricostituirsi e a riprendere le attività, ma questo ultimo colpo aggrava le sue difficoltà e ne compromette ulteriormente la reputazione.

Cos'è il gruppo ransomware LockBit?

LockBit è tra i gruppi di ransomware-as-a-service (RaaS) più prolifici, noto per aver preso di mira grandi aziende, ospedali e infrastrutture critiche.

Dalla sua comparsa nel 2019, avrebbe estorto oltre 500 milioni di dollari a più di 2.500 vittime in 120 paesi.

Tra le vittime prese di mira dal gruppo figurano Boeing, Royal Mail UK, ICBC e Capital Health.

Il modello del gruppo consente agli affiliati di effettuare attacchi utilizzando gli strumenti di LockBit, dividendo il riscatto con gli sviluppatori.

Nel dicembre 2024, le autorità statunitensi hanno incriminato Rostislav Panev, cittadino russo-israeliano, per presunta collaborazione come sviluppatore con il gruppo ransomware LockBit.

Si dice che abbia guadagnato oltre 230.000 dollari in criptovaluta per il suo ruolo nella creazione di strumenti dannosi utilizzati negli attacchi.

Altri due cittadini russi, Artur Sungatov e Ivan Kondratyev, sono stati incriminati negli Stati Uniti per attacchi ransomware contro entità americane.

Nel frattempo, il presunto leader di LockBit, Dmitry Khoroshev, rimane latitante. Gli Stati Uniti hanno offerto una taglia di 10 milioni di dollari per informazioni che portino al suo arresto.

Il settore delle criptovalute sotto attacco

Come precedentemente riportato da Invezz, le violazioni informatiche nel settore delle criptovalute nel solo primo trimestre hanno superato 1,6 miliardi di dollari, rendendolo il peggior trimestre mai registrato per il settore.

La maggior parte di queste perdite è derivata da due attacchi a exchange centralizzati, ovvero Bybit, che ha perso 1,46 miliardi di dollari, e Phemex, che è stato hackerato per 69,1 milioni di dollari.

Sebbene le piattaforme DeFi abbiano rappresentato solo il 6% delle perdite del primo trimestre, a marzo si sono verificati comunque 20 incidenti distinti, tra cui exploit su Abracadabra.money, Zoth e ZkLend, per un totale di oltre 33 milioni di dollari.