Lockbit Ransomware Gang é invadido, endereços de Bitcoin 60k vazados

O Ransomware Group Lockbit foi atingido por um ataque cibernético que expôs suas operações internas. Quase 60.000 endereços de carteira Bitcoin associados às atividades do grupo vazaram, juntamente com milhares de comunicações de vítimas e registros detalhados de sua infraestrutura de back -end.

A violação, notada pela primeira vez pelo pesquisador cibernético Rey na quarta -feira, ocorreu no final de abril de 2025. Os painéis de afiliados da Web Dark Lockbit foram desfigurados, substituídos por uma mensagem que dizia: “Não faça crime. O crime é ruim xoxo de Praga”, com um link para um mysql database dumptledledledleddb_dump.zp.zp.zp ”, com um link para um mysql database dumptledledledoudtledb_dump.zp.zp. 

Então Lockbit acabou de ser pwned… xd pic.twitter.com/jr94bvj2dm

- Rey (@reyxbf) 7 de maio de 2025

"Uma análise básica do banco de dados indica que o despejo foi criado por volta de 29 de abril, sugerindo que o Lockbit foi comprometido em ou antes dessa data e subsequentemente desfigurado em 7 de maio", confirmou Rey. 

Exposição de dados no despejo de painel

De acordo com Rey, citando uma análise da publicação de segurança cibernética BleepingComputer, havia cerca de 20 tabelas no banco de dados vazado, incluindo uma tabela 'BTC_ADDRESS' que listou 59.975 endereços de carteira Bitcoin exclusivos conectados aos pagamentos de Ransomware da Lockbit.

Outros dados notáveis ​​no vazamento incluem uma tabela 'Builds', que detalha as cargas úteis de ransomware criadas pela Lockbit Affiliates. A tabela inclui chaves públicas de criptografia e, em alguns casos, nomes de empresas direcionadas. 

A tabela 'Builds_Configurações' mostrou quais arquivos ou servidores afiliados configuraram seus ataques para evitar ou criptografar e várias outras táticas operacionais usadas em campanhas anteriores de ransomware.

Como visto em uma mesa apelidada de 'bate -papos', havia mais de 4.400 mensagens de negociação entre afiliados e vítimas de Lockbit, de 19 de dezembro de 2024 a 29 de abril de 2025. 

pic.twitter.com/gjbtzqg9vm

-Ransom-DB (@ransom_db) 8 de maio de 2025

O despejo também expõe uma tabela de 'usuários' listando 75 administradores e afiliados da Lockbit com acesso ao painel de back -end do grupo. Os detetives de segurança ficaram chocados ao descobrir que as senhas de usuário foram armazenadas no texto simples.

O pesquisador de segurança cibernética Michael Gillespie mencionou algumas das senhas expostas, incluindo "fim de semana de 69", "MovingBricks69420" e "LockbitProud231". 

O Lockbitsupp, um operador conhecido do Lockbit Group, confirmou em um bate -papo de tox com Rey que a violação era real. Ainda assim, o operador insistiu que nenhuma chave privada ou dados críticos foram perdidos. 

Resposta do Lockbitsupp (esta é uma imagem traduzida): pic.twitter.com/l54g1a5hxz

- Rey (@reyxbf) 7 de maio de 2025

Alon Gal, diretor de tecnologia da Hudson Rock, disse que os dados também incluem construções personalizadas de ransomware e algumas chaves de descriptografia. Segundo Gal, se verificado, as chaves podem ajudar algumas vítimas a recuperar seus dados sem pagar resgates.

Explorando vulnerabilidades do servidor

Uma análise do dump SQL revelou que o servidor afetado estava executando o Php 8.1.2, uma versão vulnerável a uma falha que eudentcomo "CVE-2024-4577". A vulnerabilidade permite a execução do código remoto, o que explica como os atacantes foram capazes de se infiltrar e exfiltrar os sistemas de back -end da Lockbit. 

Os profissionais de segurança acreditam que o estilo da mensagem de desfiguração pode vincular odent a uma recente violação do site de ransomware do Everest, que usou o mesmo fraseado de "crime é ruim". A semelhança sugere que o mesmo ator ou grupo pode estar por trás de ambos osdent, embora nenhuma atribuição clara tenha sido confirmada.

Os hackers por trás da violação não se apresentaram, mas Kevin Beaumont, um equipamento de segurança do Reino Unido, disse que o grupo Dragonforce pode ser responsável. 

"Alguém invadiu Lockbit. Vou adivinhar o Dragonforce", escreveu ele no Mastodon.

De acordo com a BBC, o Dragonforce estava supostamente envolvido em vários ataques cibernéticos em varejistas do Reino Unido, incluindo Marks & Spencer, Co-op e Harrods.

Em 2024, a Operação Cronos , um esforço multinacional liderado pelo Reino Unido que envolve as agências policiais de dez países, incluindo o Federal Bureau of Investigation (FBI), interrompeu temporariamente as atividades de Lockbit, embora o grupo tenha ressaltado .

A operação supostamente derrubou 34 servidores, as carteiras criptográficas confiscadas e descobriu mais de 1.000 teclas de descriptografia. 

A aplicação da lei acredita que os operadores da Lockbit estão baseados na Rússia, uma jurisdição que seria difícil de levá -los à justiça. As gangues de ransomware centralizam suas operações nas fronteiras da Rússia porque as prisões diretas são quase impossíveis.

Academia Cryptopolitan: Cansado de balanços de mercado? Saiba como DeFi pode ajudá -lo a criar renda passiva constante. Registre -se agora