Lockbit se fait hacker à son tour : 60 000 adresses Bitcoin exposées
Le gang de ransomware Lockbit, connu pour ses attaques ciblées, vient de subir un retournement de situation aussi ironique que coûteux. Leurs propres systèmes ont été piratés, révélant 60 000 adresses Bitcoin liées à leurs activités criminelles.
Une justice 2.0 ? Les forces de l’ordre pourraient enfin tracer ces fonds—même si les exchanges centralisés fermeront les yeux jusqu’à ce que les régulateurs leur mettent un pistolet sur la tempe.
Leçon du jour : même les cybercriminels doivent apprendre la sécurité. À quand un cours sur la gestion de portefeuille cold storage ?
Exposition aux données dans le vidage du panneau
Selon Rey, citant une analyse de la publication de Cybersecurity BleepingComputer, il y avait environ 20 tables dans la base de données divulguée, y compris un tableau ’BTC_ADDRESS’ qui a énuméré 59 975 adresses de portefeuille bitcoin connectées aux paiements de rançon de Lockbit.
D’autres données notables dans la fuite comprennent une table «builds», qui détaille les charges utiles des ransomwares créées par les affiliés de Lockbit. Le tableau comprend des clés de chiffrement public et, dans certains cas, des noms de sociétés ciblées.
Le tableau «builds_configurations» a montré quels fichiers ou serveurs affiliés ont configuré leurs attaques pour éviter ou crypter, et plusieurs autres tactiques opérationnelles utilisées dans les campagnes de ransomware précédentes.
Comme le montre une table surnommée «Chats», il y avait plus de 4 400 messages de négociation entre les affiliés de Lockbit et les victimes, du 19 décembre 2024 au 29 avril 2025.
pic.twitter.com/gjbtzqg9vm
- Ransom-db (@ransom_db) 8 mai 2025Le vidage expose également une table «utilisateurs» répertoriant 75 administrateurs et affiliés de Lockbit avec accès au panneau backend du groupe. Les détectives de sécurité ont été choqués de découvrir que les mots de passe utilisateur ont été stockés en texte clair.
Le chercheur en cybersécurité Michael Gillespie a mentionné certains des mots de passe exposés, y compris «Weekendlover69», «MovingBricks69420» et «Lockbitproud231».
Lockbitsupp, un opérateur connu du groupe Lockbit, a confirmé dans une conversation Tox avec Rey que la violation était réelle. Pourtant, l’opérateur a insisté sur le fait qu’aucune clé privée ou données critiques n’avait été perdue.
Réponse de LockbitsUpp (Ceci est une image traduite): pic.twitter.com/L54G1A5HXZ
- Rey (@reyxbf) 7 mai 2025Alon Gal, directeur de la technologie chez Hudson Rock, a déclaré que les données comprennent également des builds de ransomwares personnalisés et des clés de décryptage. Selon Gal, s’ils sont vérifiés, les clés pourraient aider certaines victimes à récupérer leurs données sans payer de rançon.
Exploiter les vulnérabilités du serveur
Une analyse du vidage SQL a révélé que le serveur affecté exécutait PHP 8.1.2, une version vulnérable à un défaut que je medentcomme «CVE-2024-4577». La vulnérabilité permet l’exécution du code distant, qui explique comment les attaquants ont pu s’infiltrer et exfiltrater les systèmes de backend de Lockbit.
Les professionnels de la sécurité pensent que le style du message de dégradation peut relier l’dent à une violation récente du site du ransomware de l’Everest, qui a utilisé le même «crime est mauvais». La similitude suggère que le même acteur ou groupe peut être derrière les deuxdent, bien qu’aucune attribution claire n’ait été confirmée.
Les pirates derrière la brèche ne se sont pas manifestés, mais Kevin Beaumont, une tenue de sécurité basée au Royaume-Uni, a déclaré que le groupe Dragonforce pourrait être responsable.
"Quelqu’un a piraté Lockbit. Je vais deviner Dragonforce", a-t-il écrit sur Mastodon.
Selon la BBC, Dragonforce aurait été impliqué dans plusieurs cyberattaques sur les détaillants britanniques, notamment Marks & Spencer, Co-Op et Harrods.
En 2024, l’opération cronos , un effort multinational dirigé par le Royaume-Uni, impliquant des agences d’application de la loi de dix pays, dont le Federal Bureau of Investigation (FBI) a temporairement arrêté les activités de Lockbit, bien que le groupe ait finalement refait surface .
L’opération aurait supprimé 34 serveurs, confisqué des portefeuilles cryptographiques et découvert plus de 1 000 clés de décryptage.
Les forces de l’ordre estiment que les opérateurs de Lockbit sont basés en Russie, une compétence qui serait difficile de les traduire en justice. Les gangs de ransomware centrent leurs opérations à l’intérieur des frontières de la Russie, car les arrestations directes sont presque impossibles.
Cryptopolitan Academy: à venir bientôt - une nouvelle façon de gagner un revenu passif avec DeFi en 2025. En savoir plus
