Lockbit en la mira: Hackean al temible grupo de ransomware y exponen 60,000 direcciones Bitcoin
El imperio del ransomware Lockbit se derrumba tras un ciberataque masivo. Sus billeteras de Bitcoin —esas mismas que usaban para cobrar rescates— ahora están al descubierto. ¿Ironía? Absoluta.
Los datos filtrados incluyen transacciones por millones, dejando al descubierto la economía oscura de estos hackers. Los analistas ya rastrean los fondos, mientras los exchanges se frotan las manos pensando en congelar activos.
Moraleja: hasta los criminales aprenden que la blockchain no perdona. Y los reguladores, como siempre, llegan tarde al juego.
Exposición de datos en el volcado del panel
Según Rey, citando un análisis de la publicación de ciberseguridad BleepingComuter, había alrededor de 20 tablas en la base de datos filtradas, incluida una tabla ’BTC_Addresses’ que enumeraba 59,975 direcciones de billetera Bitcoin únicas conectadas a los pagos de ransomware de Lockbit.
Otros datos notables en la filtración incluyen una tabla de ’construcciones’, que detalla las cargas útiles de ransomware creadas por los afiliados de Lockbit. La tabla incluye claves de cifrado público y, en algunos casos, nombres de empresas específicas.
La tabla ’builds_configurations’ mostró qué archivos o filiales de servidores configuraron sus ataques para evitar o cifrar, y varias otras tácticas operativas utilizadas en campañas de ransomware anteriores.
Como se ve en una mesa denominada ’Chats’, había más de 4,400 mensajes de negociación entre afiliados de Lockbit y víctimas, que abarcan del 19 de diciembre de 2024 al 29 de abril de 2025.
pic.twitter.com/gjbtzqg9vm
-Ransom-DB (@Ransom_DB) 8 de mayo de 2025El volcado también expone una tabla de ’usuarios’ que incluye 75 administradores y afiliados de Lockbit con acceso al panel de backend del grupo. Los detectives de seguridad se sorprendieron al descubrir que las contraseñas de los usuarios se almacenaron en texto sin formato.
El investigador de ciberseguridad Michael Gillespie mencionó algunas de las contraseñas expuestas, incluidas "WeekeLover69", "Movingbricks69420" y "LockbitProud231".
Lockbitsupp, un operador conocido del grupo Lockbit, confirmó en un chat de tox con Rey que la violación era real. Aún así, el operador insistió en que no se habían perdido claves privadas o datos críticos.
Respuesta de Lockbitsupp (esta es una imagen traducida): pic.twitter.com/l54g1a5hxz
- Rey (@reyxbf) 7 de mayo de 2025Alon Gal, director de tecnología de Hudson Rock, dijo que los datos también incluyen compilaciones de ransomware personalizadas y algunas claves de descifrado. Según GAL, si se verifica, las Cayos podrían ayudar a algunas víctimas a recuperar sus datos sin pagar rescates.
Explotación de vulnerabilidades del servidor
Un análisis del volcado SQL reveló que el servidor afectado estaba ejecutando PHP 8.1.2, una versión vulnerable a una falla quedenten "CVE-2024-4577". La vulnerabilidad permite la ejecución del código remoto, lo que explica cómo los atacantes pudieron infiltrarse y exfiltrar los sistemas de back -end de Lockbit.
Los profesionales de la seguridad creen que el estilo del mensaje de desfiguración puede vincular eldent a una violación reciente del sitio de ransomware del Everest, que utilizó la misma fraseo "del crimen es malo". La similitud sugiere que el mismo actor o grupo puede estar detrás de ambosdent, aunque no se ha confirmado una atribución clara.
Los hackers detrás de la violación no se han presentado, pero Kevin Beaumont, un atuendo de seguridad con sede en el Reino Unido, dijo que el grupo Dragonforce podría ser responsable.
"Alguien ha pirateado a Lockbit. Voy a adivinar a Dragonforce", escribió en Mastodon.
Según la BBC, Dragonforce supuestamente estuvo involucrado en varios ataques cibernéticos en los minoristas del Reino Unido, incluidos Marks & Spencer, Co-op y Harrods.
En 2024, la Operación Cronos , un esfuerzo multinacional liderado por el Reino Unido que involucra a agencias de aplicación de la ley de diez países, incluida la Oficina Federal de Investigación (FBI) detuvo temporalmente las actividades de Lockbit, aunque el grupo finalmente resurgió .
Según los informes, la operación eliminó 34 servidores, confiscó billeteras criptográficas y descubrió más de 1,000 claves de descifrado.
La policía cree que los operadores de Lockbit tienen su sede en Rusia, una jurisdicción que sería difícil llevarlos ante la justicia. Las pandillas de ransomware se centran en sus operaciones dentro de las fronteras de Rusia porque los arrestos directos son casi imposibles.
Academia Cryptopolitan: ¿Cansado de columpios del mercado? Aprenda cómo DeFi puede ayudarlo a generar ingresos pasivos constantes. Registrarse ahora
