La pandilla de ransomware Lockbit es pirateada, se filtran las direcciones Bitcoin de 60k

El grupo de ransomware Lockbit ha sido golpeado por un ataque cibernético que expuso sus operaciones internas. Se han filtrado casi 60,000 direcciones de billetera Bitcoin asociadas con las actividades del grupo, junto con miles de comunicaciones de víctimas y registros detallados de su infraestructura de backend.

La violación, notada por primera vez por el investigador cibercriminal Rey el miércoles por la noche, ocurrió a fines de abril de 2025. Los paneles de afiliados de la web oscura de Lockbit fueron desfigurados, reemplazados por un mensaje que decía: "No hagas delitos. El crimen es malo de Praga", con un enlace a un volcado de la data de data de MySQL titulado "Paneldb_dump.zip". 

Así que Lockbit acaba de tener pwned ... xD pic.twitter.com/jr94bvj2dm

- Rey (@reyxbf) 7 de mayo de 2025

"Un análisis básico de la base de datos indica que el volcado se creó alrededor del 29 de abril, lo que sugiere que Lockbit se vio comprometido en esa fecha o antes y posteriormente desfigurado el 7 de mayo", confirmó Rey. 

Exposición de datos en el volcado del panel

Según Rey, citando un análisis de la publicación de ciberseguridad BleepingComuter, había alrededor de 20 tablas en la base de datos filtradas, incluida una tabla 'BTC_Addresses' que enumeraba 59,975 direcciones de billetera Bitcoin únicas conectadas a los pagos de ransomware de Lockbit.

Otros datos notables en la filtración incluyen una tabla de 'construcciones', que detalla las cargas útiles de ransomware creadas por los afiliados de Lockbit. La tabla incluye claves de cifrado público y, en algunos casos, nombres de empresas específicas. 

La tabla 'builds_configurations' mostró qué archivos o filiales de servidores configuraron sus ataques para evitar o cifrar, y varias otras tácticas operativas utilizadas en campañas de ransomware anteriores.

Como se ve en una mesa denominada 'Chats', había más de 4,400 mensajes de negociación entre afiliados de Lockbit y víctimas, que abarcan del 19 de diciembre de 2024 al 29 de abril de 2025. 

pic.twitter.com/gjbtzqg9vm

-Ransom-DB (@Ransom_DB) 8 de mayo de 2025

El volcado también expone una tabla de 'usuarios' que incluye 75 administradores y afiliados de Lockbit con acceso al panel de backend del grupo. Los detectives de seguridad se sorprendieron al descubrir que las contraseñas de los usuarios se almacenaron en texto sin formato.

El investigador de ciberseguridad Michael Gillespie mencionó algunas de las contraseñas expuestas, incluidas "WeekeLover69", "Movingbricks69420" y "LockbitProud231". 

Lockbitsupp, un operador conocido del grupo Lockbit, confirmó en un chat de tox con Rey que la violación era real. Aún así, el operador insistió en que no se habían perdido claves privadas o datos críticos. 

Respuesta de Lockbitsupp (esta es una imagen traducida): pic.twitter.com/l54g1a5hxz

- Rey (@reyxbf) 7 de mayo de 2025

Alon Gal, director de tecnología de Hudson Rock, dijo que los datos también incluyen compilaciones de ransomware personalizadas y algunas claves de descifrado. Según GAL, si se verifica, las Cayos podrían ayudar a algunas víctimas a recuperar sus datos sin pagar rescates.

Explotación de vulnerabilidades del servidor

Un análisis del volcado SQL reveló que el servidor afectado estaba ejecutando PHP 8.1.2, una versión vulnerable a una falla quedenten "CVE-2024-4577". La vulnerabilidad permite la ejecución del código remoto, lo que explica cómo los atacantes pudieron infiltrarse y exfiltrar los sistemas de back -end de Lockbit. 

Los profesionales de la seguridad creen que el estilo del mensaje de desfiguración puede vincular eldent a una violación reciente del sitio de ransomware del Everest, que utilizó la misma fraseo "del crimen es malo". La similitud sugiere que el mismo actor o grupo puede estar detrás de ambosdent, aunque no se ha confirmado una atribución clara.

Los hackers detrás de la violación no se han presentado, pero Kevin Beaumont, un atuendo de seguridad con sede en el Reino Unido, dijo que el grupo Dragonforce podría ser responsable. 

"Alguien ha pirateado a Lockbit. Voy a adivinar a Dragonforce", escribió en Mastodon.

Según la BBC, Dragonforce supuestamente estuvo involucrado en varios ataques cibernéticos en los minoristas del Reino Unido, incluidos Marks & Spencer, Co-op y Harrods.

En 2024, la Operación Cronos , un esfuerzo multinacional liderado por el Reino Unido que involucra a agencias de aplicación de la ley de diez países, incluida la Oficina Federal de Investigación (FBI) detuvo temporalmente las actividades de Lockbit, aunque el grupo finalmente resurgió .

Según los informes, la operación eliminó 34 servidores, confiscó billeteras criptográficas y descubrió más de 1,000 claves de descifrado. 

La policía cree que los operadores de Lockbit tienen su sede en Rusia, una jurisdicción que sería difícil llevarlos ante la justicia. Las pandillas de ransomware se centran en sus operaciones dentro de las fronteras de Rusia porque los arrestos directos son casi imposibles.

Academia Cryptopolitan: ¿Cansado de columpios del mercado? Aprenda cómo DeFi puede ayudarlo a generar ingresos pasivos constantes. Registrarse ahora