Hackare bryter sig in i LockBit-gänget och läcker nästan 60 000 Bitcoin-adresser

Tusentals Bitcoin-adresser kopplade till lösensummor som behandlats via LockBits nätverk har avslöjats efter att hackare har brutit in i gruppens affiliate-databas.

Enligt en rapport från Bleeping Computer bröt sig okända hackare in i LockBits dark web-infrastruktur, skadade dess affiliate-paneler och delade offentligt en fil som exponerade data från gruppens interna verksamhet.

Den läckta MySQL-databasen verkar innehålla åratal av ransomware-aktivitet, vilket avslöjar detaljer kopplade till LockBits affiliate-hanteringssystem.

Bland de viktigaste fynden fanns nästan 60 000 Bitcoin-plånboksadresser, som tros vara kopplade till lösensummor som gjorts av offren.

Informationen skulle kunna hjälpa till att spåra hur lösensummor rörde sig genom LockBits infrastruktur.

Intrånget bekräftades också av en anonym LockBit-operatör, vilket antyddes av en konversation som delades av en X-användare. Operatören bekräftade dock att inga privata nycklar läckte ut.

Den läckta informationen inkluderade även register över ransomware-verktyg som skapats av LockBits dotterbolag, detaljer om hur specifika system riktades in och över 4 400 privata förhandlingsmeddelanden mellan gruppen och dess offer, från december 2024 till april 2025.

Det är fortfarande okänt vem som utförde intrånget eller hur de fick tillgång till LockBits backend-system.

Utredarna noterade dock att ett lämnat efterlämnat meddelande om vanställande av attacker matchar ett som användes i ett nyligen genomfört intrång på Everest-ransomware-gruppens webbplats, vilket tyder på en möjlig koppling mellan de två incidenterna.

Ett meddelande lämnat av LockBit-angripare. Källa: Bleeping Computer

Detta intrång kommer efter den större nedmonteringen av LockBits infrastruktur i februari 2024 under Operation Cronos, en samordnad insats av FBI, NCA, Europol och andra.

Under razzian beslagtog myndigheterna 34 servrar, 1 000 dekrypteringsnycklar och tillgång till LockBits läckagesidor, där de hotar att publicera ett offers stulna data.

Gänget lyckades senare återuppbygga och återuppta sina aktiviteter, men denna senaste kompromiss fördjupar deras motgångar och fläckar ytterligare ner deras rykte.

Vad är LockBit ransomware-gänget?

LockBit är bland de mest produktiva ransomware-as-a-service (RaaS)-företagen, kända för att rikta in sig på stora företag, sjukhus och kritisk infrastruktur.

Sedan det uppstod 2019 har det enligt uppgift utpressats för över 500 miljoner dollar från fler än 2 500 offer i 120 länder.

Bland offren som gruppen har utsatts för finns Boeing, Royal Mail UK, ICBC och Capital Health.

Gruppens modell gör det möjligt för affiliates att utföra attacker med LockBits verktyg och dela lösensumman med utvecklarna.

I december 2024 åtalade amerikanska myndigheter Rostislav Panev, en rysk-israelisk medborgare, för att ha arbetat som utvecklare för LockBit ransomware-gruppen.

Han tjänade enligt uppgift över 230 000 dollar i kryptovaluta för sin roll i att skapa skadliga verktyg som används i attacker.

Två andra ryska medborgare, Artur Sungatov och Ivan Kondratyev, åtalades också i USA för ransomware-attacker mot amerikanska enheter.

Samtidigt är LockBits misstänkte ledare, Dmitrij Khoroshev, fortfarande på fri fot. USA har utfärdat en belöning på 10 miljoner dollar för information som leder till hans gripande.

Kryptoindustrin under attack

Som tidigare rapporterats av Invezz översteg kryptohackningarna under det första kvartalet 1,6 miljarder dollar, vilket gör det till det sämsta kvartalet någonsin för branschen.

Majoriteten av dessa förluster kom från två attacker mot centraliserade börser, nämligen Bybit, som förlorade 1,46 miljarder dollar, och Phemex, som hackades för 69,1 miljoner dollar.

Medan DeFi-plattformar bara stod för 6 % av förlusterna under första kvartalet, inträffade det fortfarande 20 separata incidenter i mars, inklusive exploateringar på Abracadabra.money, Zoth och ZkLend, totalt över 33 miljoner dollar.