Hakerzy włamali się do gangu LockBit, ujawniając prawie 60 000 adresów Bitcoin.

Po włamaniu hakerów do bazy danych partnerów LockBit ujawniono tysiące adresów Bitcoin powiązanych z płatnościami okupu przetwarzanymi za pośrednictwem sieci tej grupy.

Według raportu Bleeping Computer, nieznani hakerzy naruszyli infrastrukturę LockBit w dark webie, zdefasowali panele partnerskie i publicznie udostępnili plik ujawniający dane z wewnętrznych operacji grupy.

Wyciekła baza danych MySQL zawiera, jak się wydaje, dane dotyczące wieloletniej działalności ransomware, ujawniając szczegóły związane z systemem zarządzania partnerami LockBit.

Do najważniejszych odkryć należało prawie 60 000 adresów portfeli Bitcoin, które prawdopodobnie były powiązane z płatnościami okupu dokonywanymi przez ofiary.

Te informacje mogłyby pomóc w śledzeniu przepływu pieniędzy z okupu przez infrastrukturę LockBit.

Naruszono zabezpieczenia, co potwierdził również anonimowy operator LockBit, jak wynika z rozmowy udostępnionej przez jednego z użytkowników X. Operator potwierdził jednak, że nie doszło do wycieku kluczy prywatnych.

Wyciekłe dane zawierały również zapisy narzędzi ransomware stworzonych przez współpracowników LockBit, szczegóły dotyczące sposobu atakowania konkretnych systemów oraz ponad 4400 prywatnych wiadomości negocjacyjnych między grupą a jej ofiarami, obejmujących okres od grudnia 2024 r. do kwietnia 2025 r.

Wciąż nie wiadomo, kto dokonał włamania ani w jaki sposób uzyskał dostęp do systemów zaplecza LockBit.

Śledczy zauważyli jednak, że pozostawiona wiadomość z aktem wandalizmu odpowiada tej użytej w niedawnym ataku na stronę grupy ransomware Everest, co sugeruje możliwe powiązanie między tymi dwoma incydentami.

Wiadomość pozostawiona przez hakerów z LockBit. Źródło: Bleeping Computer

Do tego naruszenia doszło po znaczącej akcji zlikwidowania infrastruktury LockBit w lutym 2024 r. w ramach operacji Cronos, skoordynowanego wysiłku FBI, NCA, Europolu i innych służb.

Podczas nalotu władze skonfiskowały 34 serwery, 1000 kluczy deszyfrujących i dostęp do stron wycieków LockBit, gdzie grożono publikacją skradzionych danych ofiar.

Gangowi udało się później odbudować i wznowić działalność, ale ten ostatni kompromis pogłębia ich porażki i dodatkowo niszczy ich reputację.

Czym jest grupa ransomware LockBit?

LockBit należy do najaktywniejszych grup oferujących ransomware jako usługę (RaaS), znanych z ataków na duże korporacje, szpitale i infrastrukturę krytyczną.

Od czasu pojawienia się w 2019 roku, według doniesień, wymusiło ponad 500 milionów dolarów od ponad 2500 ofiar w 120 krajach.

Wśród ofiar grupy znajdują się Boeing, Royal Mail UK, ICBC i Capital Health.

Model grupy pozwala współpracownikom przeprowadzać ataki przy użyciu narzędzi LockBit, dzieląc się okupem z twórcami.

W grudniu 2024 r. władze USA oskarżyły Rostisława Panewa, obywatela Rosji i Izraela, o rzekome działanie jako programista dla grupy ransomware LockBit.

Według doniesień zarobił ponad 230 000 dolarów w kryptowalutach za swój udział w tworzeniu złośliwych narzędzi wykorzystywanych w atakach.

Dwóch innych obywateli Rosji, Artur Sungatow i Iwan Kondratiew, również zostało oskarżonych w USA o ataki ransomware na amerykańskie podmioty.

Tymczasem podejrzany przywódca LockBit, Dmitrij Choroszew, pozostaje na wolności. Stany Zjednoczone wyznaczyły nagrodę w wysokości 10 milionów dolarów za informacje prowadzące do jego aresztowania.

Branża kryptowalut pod atakiem

Jak wcześniej informował Invezz, w samym pierwszym kwartale ataki hakerskie na kryptowaluty przekroczyły 1,6 miliarda dolarów, co czyni go najgorszym kwartałem w historii branży.

Większość tych strat wynikała z dwóch ataków na scentralizowane giełdy, a mianowicie Bybit, która straciła 1,46 miliarda dolarów, oraz Phemex, która została zhakowana na 69,1 miliona dolarów.

Chociaż platformy DeFi odpowiadały za zaledwie 6% strat w pierwszym kwartale, w marcu doszło do 20 oddzielnych incydentów, w tym do ataków na Abracadabra.money, Zoth i ZkLend, których łączna wartość przekroczyła 33 miliony dolarów.