Hackers invadem gangue LockBit e vazam quase 60.000 endereços de Bitcoin

Milhares de endereços Bitcoin ligados a pagamentos de resgate processados através da rede LockBit foram expostos após hackers invadirem o banco de dados de afiliados do grupo.

De acordo com um relatório do Bleeping Computer, hackers desconhecidos invadiram a infraestrutura da LockBit na dark web, desfiguraram seus painéis de afiliados e compartilharam publicamente um arquivo expondo dados das operações internas do grupo.

O banco de dados MySQL vazado parece incluir anos de atividade de ransomware, revelando detalhes ligados ao sistema de gestão de afiliados do LockBit.

Entre as descobertas mais significativas estavam quase 60.000 endereços de carteiras Bitcoin, que se acredita estarem ligados a pagamentos de resgate feitos pelas vítimas.

As informações podem ajudar a rastrear como os fundos de resgate circularam pela infraestrutura do LockBit.

A violação também foi confirmada por um operador anônimo do LockBit, conforme sugerido por uma conversa compartilhada por um usuário do X. No entanto, o operador confirmou que nenhuma chave privada foi vazada.

Os dados vazados também incluíam registros das ferramentas de ransomware criadas por afiliados do LockBit, detalhes sobre como sistemas específicos foram alvos e mais de 4.400 mensagens privadas de negociação entre o grupo e suas vítimas, abrangendo o período de dezembro de 2024 a abril de 2025.

Ainda não se sabe quem realizou a violação ou como obteve acesso aos sistemas de back-end do LockBit.

No entanto, os investigadores observaram que uma mensagem de vandalismo deixada para trás corresponde a uma usada em uma recente violação do site do grupo de ransomware Everest, sugerindo uma possível conexão entre os dois incidentes.

Uma mensagem deixada pelos atacantes do LockBit. Fonte: Bleeping Computer

Essa violação ocorre após a grande desarticulação da infraestrutura do LockBit em fevereiro de 2024, na Operação Cronos, um esforço coordenado pelo FBI, NCA, Europol e outros.

Durante a operação, as autoridades apreenderam 34 servidores, 1.000 chaves de descriptografia e acesso aos sites de vazamento do LockBit, onde eles ameaçam publicar os dados roubados das vítimas.

A gangue conseguiu mais tarde se reconstruir e retomar suas atividades, mas este último comprometimento aprofunda seus reveses e mancha ainda mais sua reputação.

O que é o grupo de ransomware LockBit?

O LockBit está entre os grupos de ransomware como serviço (RaaS) mais prolíficos, conhecido por atacar grandes corporações, hospitais e infraestruturas críticas.

Desde seu surgimento em 2019, teria extorquido mais de US$ 500 milhões de mais de 2.500 vítimas em 120 países.

Entre as vítimas visadas pelo grupo estão a Boeing, a Royal Mail UK, o ICBC e a Capital Health.

O modelo do grupo permite que afiliados realizem ataques usando as ferramentas do LockBit, dividindo o resgate com os desenvolvedores.

Em dezembro de 2024, autoridades americanas acusaram Rostislav Panev, cidadão russo-israelense, de supostamente trabalhar como desenvolvedor para o grupo de ransomware LockBit.

Segundo relatos, ele ganhou mais de US$ 230.000 em criptomoedas por seu papel na criação de ferramentas maliciosas usadas em ataques.

Outros dois cidadãos russos, Artur Sungatov e Ivan Kondratyev, também foram indiciados nos EUA por ataques de ransomware contra entidades americanas.

Enquanto isso, o suposto líder do LockBit, Dmitry Khoroshev, permanece foragido. Os EUA ofereceram uma recompensa de US$ 10 milhões por informações que levem à sua prisão.

Indústria de criptomoedas sob ataque

Como relatado anteriormente pela Invezz, os ataques cibernéticos a criptomoedas somente no primeiro trimestre ultrapassaram US$ 1,6 bilhão, tornando-o o pior trimestre já registrado para o setor.

A maior parte dessas perdas resultou de dois ataques a corretoras centralizadas, nomeadamente a Bybit, que perdeu US$ 1,46 bilhão, e a Phemex, que foi hackeada em US$ 69,1 milhões.

Embora as plataformas DeFi tenham representado apenas 6% das perdas do primeiro trimestre, março ainda registrou 20 incidentes separados, incluindo explorações em Abracadabra.money, Zoth e ZkLend, totalizando mais de US$ 33 milhões.