Hackere bryter seg inn i LockBit-gjengen og lekker nesten 60 000 Bitcoin-adresser

Tusenvis av Bitcoin-adresser knyttet til løsepenger behandlet gjennom LockBits nettverk har blitt eksponert etter at hackere har brutt seg inn i gruppens tilknyttede database.

Ifølge en rapport fra Bleeping Computer brøt ukjente hackere seg inn i LockBits mørkenettinfrastruktur, ødela tilknyttede paneler og delte offentlig en fil som eksponerte data fra gruppens interne operasjoner.

Den lekkede MySQL-databasen ser ut til å inneholde årevis med ransomware-aktivitet, og avslører detaljer knyttet til LockBits affiliate-administrasjonssystem.

Blant de viktigste funnene var nesten 60 000 Bitcoin-lommebokadresser, som antas å være knyttet til løsepenger foretatt av ofrene.

Informasjonen kan bidra til å spore hvordan løsepenger beveget seg gjennom LockBits infrastruktur.

Innbruddet ble også bekreftet av en anonym LockBit-operatør, noe som ble antydet av en samtale delt av en X-bruker. Operatøren bekreftet imidlertid at ingen private nøkler ble lekket.

De lekkede dataene inkluderte også oversikter over ransomware-verktøyene som ble laget av LockBit-tilknyttede selskaper, detaljer om hvordan spesifikke systemer ble målrettet, og over 4400 private forhandlingsmeldinger mellom gruppen og ofrene, fra desember 2024 til april 2025.

Det er fortsatt ukjent hvem som utførte innbruddet eller hvordan de fikk tilgang til LockBits backend-systemer.

Etterforskerne bemerket imidlertid at en melding om ødeleggelse som ble etterlatt samsvarer med en som ble brukt i et nylig innbrudd på Everest-ransomware-gruppens nettsted, noe som tyder på en mulig sammenheng mellom de to hendelsene.

En melding lagt igjen av LockBit-angripere. Kilde: Bleeping Computer

Dette sikkerhetsbruddet kommer etter den omfattende nedstengningen av LockBits infrastruktur i februar 2024 under Operasjon Cronos, en koordinert innsats av FBI, NCA, Europol og andre.

Under raidet beslagla myndighetene 34 servere, 1000 dekrypteringsnøkler og tilgang til LockBits lekkasjesider, hvor de truer med å publisere et offers stjålne data.

Gjengen klarte senere å gjenoppbygge og gjenoppta aktivitetene, men dette siste kompromisset forverrer tilbakeslagene deres og sverter ytterligere omdømmet deres.

Hva er LockBit ransomware-gjengen?

LockBit er blant de mest produktive ransomware-as-a-service (RaaS)-selskapene, kjent for å målrette seg mot store selskaper, sykehus og kritisk infrastruktur.

Siden oppstarten i 2019 har den angivelig presset over 500 millioner dollar fra mer enn 2500 ofre i 120 land.

Blant ofrene som gruppen har rammet er Boeing, Royal Mail UK, ICBC og Capital Health.

Gruppens modell gjør det mulig for tilknyttede selskaper å utføre angrep ved hjelp av LockBits verktøy, og dele løsepengene med utviklerne.

I desember 2024 siktet amerikanske myndigheter Rostislav Panev, en russisk-israelsk statsborger, for angivelig å ha jobbet som utvikler for LockBit-ransomware-gruppen.

Han skal ha tjent over 230 000 dollar i kryptovaluta for sin rolle i å lage ondsinnede verktøy som brukes i angrep.

To andre russiske statsborgere, Artur Sungatov og Ivan Kondratyev, ble også tiltalt i USA for løsepengevirusangrep mot amerikanske enheter.

I mellomtiden er LockBits mistenkte leder, Dmitrij Khoroshev, fortsatt på frifot. USA har utstedt en dusør på 10 millioner dollar for informasjon som fører til arrestasjonen hans.

Kryptoindustrien under angrep

Som tidligere rapportert av Invezz, oversteg kryptohackingene i første kvartal alene 1,6 milliarder dollar, noe som gjør det til det verste kvartalet noensinne for bransjen.

Størstedelen av disse tapene kom fra to angrep på sentraliserte børser, nemlig Bybit, som tapte 1,46 milliarder dollar, og Phemex, som ble hacket for 69,1 millioner dollar.

Mens DeFi-plattformer bare sto for 6 % av tapene i første kvartal, var det fortsatt 20 separate hendelser i mars, inkludert angrep på Abracadabra.money, Zoth og ZkLend, til sammen over 33 millioner dollar.