Hackers breken in bij LockBit-bende en lekken bijna 60.000 Bitcoin-adressen.

Duizenden Bitcoin-adressen die verband houden met losgeldbetalingen via het LockBit-netwerk zijn blootgelegd nadat hackers de affiliate-database van de groep hebben gehackt.

Volgens een rapport van Bleeping Computer hebben onbekende hackers de darkweb-infrastructuur van LockBit gehackt, de affiliate-panels beschadigd en een bestand openbaar gemaakt met gegevens over de interne operaties van de groep.

De gelekte MySQL-database lijkt jaren aan ransomware-activiteiten te bevatten en onthult details die verband houden met het affiliate-managementsysteem van LockBit.

Een van de belangrijkste bevindingen waren bijna 60.000 Bitcoin-walletadressen, waarvan wordt aangenomen dat ze verband houden met losgeldbetalingen van slachtoffers.

De informatie zou kunnen helpen bij het traceren van de route die losgeldgelden door de infrastructuur van LockBit hebben afgelegd.

De inbreuk werd ook bevestigd door een anonieme LockBit-operator, zoals blijkt uit een gesprek dat door een X-gebruiker werd gedeeld. De operator bevestigde echter dat er geen privésleutels zijn gelekt.

De gelekte gegevens omvatten ook records van de ransomware-tools die door LockBit-affiliates zijn gemaakt, details over hoe specifieke systemen werden aangevallen en meer dan 4400 privé-onderhandelingsberichten tussen de groep en haar slachtoffers, van december 2024 tot april 2025.

Het is nog steeds onbekend wie de inbreuk heeft gepleegd of hoe ze toegang hebben gekregen tot de back-endsystemen van LockBit.

Onderzoekers merkten echter op dat een achtergelaten bericht met vandalisme overeenkomt met een bericht dat werd gebruikt bij een recente inbraak op de website van de Everest ransomwaregroep, wat wijst op een mogelijk verband tussen de twee incidenten.

Een bericht achtergelaten door LockBit-aanvallers. Bron: Bleeping Computer

Deze inbreuk volgt op de grote ontmanteling van de LockBit-infrastructuur in februari 2024 tijdens Operatie Cronos, een gecoördineerde actie van de FBI, NCA, Europol en anderen.

Tijdens de inval namen de autoriteiten 34 servers, 1000 decryptiesleutels en toegang tot de lekwebsites van LockBit in beslag, waar ze dreigen de gestolen gegevens van slachtoffers te publiceren.

De bende slaagde er later in zich te herstellen en de activiteiten te hervatten, maar dit laatste compromis verergert hun tegenslagen en beschadigt hun reputatie verder.

Wat is de LockBit-ransomwaregroep?

LockBit behoort tot de meest productieve ransomware-as-a-service (RaaS)-organisaties en staat bekend om het aanvallen van grote bedrijven, ziekenhuizen en kritieke infrastructuur.

Sinds zijn opkomst in 2019 heeft het naar verluidt meer dan $500 miljoen afgeperst van meer dan 2500 slachtoffers in 120 landen.

Slachtoffers van de groep zijn onder andere Boeing, Royal Mail UK, ICBC en Capital Health.

Het model van de groep stelt partners in staat om aanvallen uit te voeren met behulp van de tools van LockBit, waarbij het losgeld met de ontwikkelaars wordt gedeeld.

In december 2024 klaagden de Amerikaanse autoriteiten Rostislav Panev, een Russisch-Israëlische dubbele nationaliteit, aan wegens vermeende betrokkenheid als ontwikkelaar bij de LockBit-ransomwaregroep.

Hij verdiende naar verluidt meer dan $230.000 aan cryptocurrency voor zijn rol bij het creëren van kwaadaardige tools die bij aanvallen werden gebruikt.

Twee andere Russische staatsburgers, Artur Sungatov en Ivan Kondratjev, werden in de VS ook aangeklaagd voor ransomware-aanvallen op Amerikaanse entiteiten.

Ondertussen is de vermoedelijke leider van LockBit, Dmitry Khoroshev, nog steeds op vrije voeten. De VS hebben een beloning van 10 miljoen dollar uitgeloofd voor informatie die tot zijn arrestatie leidt.

Crypto-industrie onder vuur

Zoals eerder gemeld door Invezz, overtroffen de crypto-hacks in het eerste kwartaal alleen al $1,6 miljard, waardoor het het slechtste kwartaal ooit voor de sector was.

Het grootste deel van deze verliezen was het gevolg van twee aanvallen op gecentraliseerde beurzen, namelijk Bybit, dat $1,46 miljard verloor, en Phemex, dat voor $69,1 miljoen werd gehackt.

Hoewel DeFi-platforms slechts 6% van de verliezen in het eerste kwartaal voor hun rekening namen, vonden er in maart nog steeds 20 afzonderlijke incidenten plaats, waaronder exploits op Abracadabra.money, Zoth en ZkLend, met een totaalbedrag van meer dan $33 miljoen.