Lockbit sofre reviravolta: hackers invadem gangue de ransomware e vazam endereços de Bitcoin no valor de US$ 60 milhões

O império do crime cibernético levou um golpe duro esta semana. A gangue Lockbit, conhecida por ataques de ransomware de alto perfil, teve seus sistemas invadidos por um grupo rival—ou talvez por autoridades disfarçadas. Detalhes sangrentos emergiram: endereços de Bitcoin ligados a pagamentos de resgate, totalizando mais de US$ 60 milhões, foram expostos em fóruns underground.

Operação desmontada? Os dados vazados incluem carteiras não gastas, transações rastreáveis e até manuais internos de cripto-lavagem. Uma ironia cruel para uma organização que cobrava em BTC justamente pela suposta ’anonimidade’. Enquanto isso, exchanges já congelam fundos—afinal, compliance só aparece quando o dinheiro está quente.

O mercado reage: analistas especulam que o incidente pode pressionar criminosos a migrar para privacy coins, enquanto investidores institucionais aproveitam para reforçar narrativas de ’blockchain transparente’. A lição? Até no submundo das criptomoedas, a ganância corta dois lados—e a fiscalização está aprendendo a jogar sujo.

Exposição de dados no despejo de painel

De acordo com Rey, citando uma análise da publicação de segurança cibernética BleepingComputer, havia cerca de 20 tabelas no banco de dados vazado, incluindo uma tabela ’BTC_ADDRESS’ que listou 59.975 endereços de carteira Bitcoin exclusivos conectados aos pagamentos de Ransomware da Lockbit.

Outros dados notáveis ​​no vazamento incluem uma tabela ’Builds’, que detalha as cargas úteis de ransomware criadas pela Lockbit Affiliates. A tabela inclui chaves públicas de criptografia e, em alguns casos, nomes de empresas direcionadas. 

A tabela ’Builds_Configurações’ mostrou quais arquivos ou servidores afiliados configuraram seus ataques para evitar ou criptografar e várias outras táticas operacionais usadas em campanhas anteriores de ransomware.

Como visto em uma mesa apelidada de ’bate -papos’, havia mais de 4.400 mensagens de negociação entre afiliados e vítimas de Lockbit, de 19 de dezembro de 2024 a 29 de abril de 2025. 

pic.twitter.com/gjbtzqg9vm

O despejo também expõe uma tabela de ’usuários’ listando 75 administradores e afiliados da Lockbit com acesso ao painel de back -end do grupo. Os detetives de segurança ficaram chocados ao descobrir que as senhas de usuário foram armazenadas no texto simples.

O pesquisador de segurança cibernética Michael Gillespie mencionou algumas das senhas expostas, incluindo "fim de semana de 69", "MovingBricks69420" e "LockbitProud231". 

O Lockbitsupp, um operador conhecido do Lockbit Group, confirmou em um bate -papo de tox com Rey que a violação era real. Ainda assim, o operador insistiu que nenhuma chave privada ou dados críticos foram perdidos. 

Resposta do Lockbitsupp (esta é uma imagem traduzida): pic.twitter.com/l54g1a5hxz

Alon Gal, diretor de tecnologia da Hudson Rock, disse que os dados também incluem construções personalizadas de ransomware e algumas chaves de descriptografia. Segundo Gal, se verificado, as chaves podem ajudar algumas vítimas a recuperar seus dados sem pagar resgates.

Explorando vulnerabilidades do servidor

Uma análise do dump SQL revelou que o servidor afetado estava executando o Php 8.1.2, uma versão vulnerável a uma falha que eudentcomo "CVE-2024-4577". A vulnerabilidade permite a execução do código remoto, o que explica como os atacantes foram capazes de se infiltrar e exfiltrar os sistemas de back -end da Lockbit. 

Os profissionais de segurança acreditam que o estilo da mensagem de desfiguração pode vincular odent a uma recente violação do site de ransomware do Everest, que usou o mesmo fraseado de "crime é ruim". A semelhança sugere que o mesmo ator ou grupo pode estar por trás de ambos osdent, embora nenhuma atribuição clara tenha sido confirmada.

Os hackers por trás da violação não se apresentaram, mas Kevin Beaumont, um equipamento de segurança do Reino Unido, disse que o grupo Dragonforce pode ser responsável. 

"Alguém invadiu Lockbit. Vou adivinhar o Dragonforce", escreveu ele no Mastodon.

De acordo com a BBC, o Dragonforce estava supostamente envolvido em vários ataques cibernéticos em varejistas do Reino Unido, incluindo Marks & Spencer, Co-op e Harrods.

Em 2024, a Operação Cronos , um esforço multinacional liderado pelo Reino Unido que envolve as agências policiais de dez países, incluindo o Federal Bureau of Investigation (FBI), interrompeu temporariamente as atividades de Lockbit, embora o grupo tenha ressaltado .

A operação supostamente derrubou 34 servidores, as carteiras criptográficas confiscadas e descobriu mais de 1.000 teclas de descriptografia. 

A aplicação da lei acredita que os operadores da Lockbit estão baseados na Rússia, uma jurisdição que seria difícil de levá -los à justiça. As gangues de ransomware centralizam suas operações nas fronteiras da Rússia porque as prisões diretas são quase impossíveis.

Academia Cryptopolitan: Cansado de balanços de mercado? Saiba como DeFi pode ajudá -lo a criar renda passiva constante. Registre -se agora