Hackerii au pătruns în grupul LockBit și au divulgat aproape 60.000 de adrese Bitcoin

Mii de adrese Bitcoin legate de plăți de răscumpărare procesate prin rețeaua LockBit au fost expuse după ce hackerii au spart baza de date afiliată a grupului.

Conform unui raport Bleeping Computer, hackeri necunoscuți au spart infrastructura dark web a LockBit, au denaturat panourile afiliate și au distribuit public un fișier care expunea date din operațiunile interne ale grupului.

Baza de date MySQL, dezvăluită prin scurgere, pare să includă ani de activitate ransomware, dezvăluind detalii legate de sistemul de gestionare a afiliaților LockBit.

Printre cele mai semnificative descoperiri s-au numărat aproape 60.000 de adrese de portofele Bitcoin, despre care se crede că ar fi legate de plățile de răscumpărare efectuate de victime.

Informațiile ar putea ajuta la urmărirea modului în care fondurile de răscumpărare au fost transferate prin infrastructura LockBit.

Încălcarea a fost confirmată și de un operator anonim LockBit, așa cum sugerează o conversație partajată de un utilizator X. Cu toate acestea, operatorul a confirmat că nu au fost divulgate chei private.

Datele scurse au inclus, de asemenea, înregistrări ale instrumentelor ransomware create de afiliații LockBit, detalii despre modul în care au fost vizate anumite sisteme și peste 4.400 de mesaje de negociere privată între grup și victimele sale, în perioada decembrie 2024 - aprilie 2025.

Încă nu se știe cine a efectuat breșa sau cum a obținut acces la sistemele backend ale LockBit.

Cu toate acestea, anchetatorii au observat că un mesaj de defacere lăsat în urmă se potrivește cu unul folosit într-o încălcare recentă a site-ului grupului ransomware Everest, sugerând o posibilă legătură între cele două incidente.

Un mesaj lăsat de atacatorii LockBit. Sursa: Bleeping Computer

Această breșă de securitate vine după distrugerea majoră a infrastructurii LockBit în februarie 2024 în cadrul Operațiunii Cronos, un efort coordonat de FBI, NCA, Europol și alții.

În timpul raidului, autoritățile au confiscat 34 de servere, 1.000 de chei de decriptare și acces la site-urile de scurgeri de informații LockBit, unde amenință că vor publica datele furate ale victimelor.

Banda a reușit ulterior să se reconstruiască și să reia activitățile, dar acest ultim compromis le adâncește eșecurile și le pătează și mai mult reputația.

Ce este banda de ransomware LockBit?

LockBit se numără printre cele mai prolifice companii de tip ransomware-as-a-service (RaaS), cunoscută pentru că vizează corporații mari, spitale și infrastructură critică.

De la apariția sa în 2019, se pare că a extorcat peste 500 de milioane de dolari de la peste 2.500 de victime din 120 de țări.

Printre victimele vizate de grup se numără Boeing, Royal Mail UK, ICBC și Capital Health.

Modelul grupului permite afiliaților să efectueze atacuri folosind instrumentele LockBit, împărțind răscumpărarea cu dezvoltatorii.

În decembrie 2024, autoritățile americane l-au acuzat pe Rostislav Panev, cu dublă cetățenie ruso-israeliană, pentru că ar fi lucrat ca dezvoltator pentru grupul de ransomware LockBit.

Se pare că a câștigat peste 230.000 de dolari în criptomonede pentru rolul său în crearea de instrumente malițioase folosite în atacuri.

Alți doi cetățeni ruși, Artur Sungatov și Ivan Kondratiev, au fost, de asemenea, puși sub acuzare în SUA pentru atacuri ransomware asupra unor entități americane.

Între timp, presupusul lider al LockBit, Dmitri Khoroshev, este încă în libertate. SUA au plasat o recompensă de 10 milioane de dolari pentru informații care duc la arestarea sa.

Industria cripto sub atac

După cum a raportat anterior Invezz, atacurile cibernetice din primul trimestru au depășit 1,6 miliarde de dolari, ceea ce îl face cel mai slab trimestru înregistrat vreodată pentru industrie.

Majoritatea acestor pierderi au provenit din două atacuri asupra burselor centralizate, și anume Bybit, care a pierdut 1,46 miliarde de dolari, și Phemex, care a fost atacat de hackeri pentru 69,1 milioane de dolari.

Deși platformele DeFi au reprezentat doar 6% din pierderile din primul trimestru, în martie s-au înregistrat totuși 20 de incidente separate, inclusiv exploatări asupra Abracadabra.money, Zoth și ZkLend, însumând peste 33 de milioane de dolari.