Hackean a grupo de ransomware LockBit y filtran 60.000 direcciones Bitcoin

El grupo de ransomware LockBit ha sido víctima de un ciberataque que expuso sus operaciones internas. Se han filtrado casi 60.000 direcciones de monederos Bitcoin asociadas con las actividades del grupo, junto con miles de comunicaciones de víctimas y registros detallados de su infraestructura de backend.

La brecha, detectada por primera vez por el investigador de cibercrimen Rey el miércoles por la noche, ocurrió a finales de abril de 2025. Los paneles de afiliados de LockBit en la dark web fueron desfigurados y reemplazados por un mensaje que decía: "No delinquir. EL CRIMEN ES MALO. Besos y abrazos desde Praga", con un enlace a un volcado de datos de MySQL titulado "paneldb_dump.zip" 

https://twitter.com/ReyXBF/status/1920220381681418713

“Un análisis básico de la base de datos indica que el volcado se creó alrededor del 29 de abril, lo que sugiere que LockBit fue comprometido en o antes de esa fecha y posteriormente desfigurado el 7 de mayo”, confirmó Rey. 

Exposición de datos en volcados de panel

Según Rey, citando un análisis de la publicación de ciberseguridad BleepingComputer, había alrededor de 20 tablas en la base de datos filtrada, incluida una tabla 'btc_addresses' que enumeraba 59.975 direcciones únicas de billetera Bitcoin conectadas a los pagos de ransomware de LockBit.

Otros datos destacados de la filtración incluyen una tabla de compilaciones que detalla las cargas útiles del ransomware creadas por afiliados de LockBit. La tabla incluye claves de cifrado públicas y, en algunos casos, los nombres de las empresas objetivo. 

La tabla 'builds_configurations' mostró qué archivos o servidores afiliados configuraron sus ataques para evitar o cifrar, y varias otras tácticas operativas utilizadas en campañas de ransomware anteriores.

Como se ve en una tabla denominada "chats", hubo más de 4.400 mensajes de negociación entre afiliados de LockBit y víctimas, desde el 19 de diciembre de 2024 hasta el 29 de abril de 2025. 

foto.twitter.com/gjbtzQg9VM

— Ransom-DB (@Ransom_DB) 8 de mayo de 2025

El archivo filtrado también revela una tabla de "usuarios" que lista a 75 administradores y afiliados de LockBit con acceso al panel de administración del grupo. Los expertos en seguridad se sorprendieron al descubrir que las contraseñas de los usuarios se almacenaban en texto plano. 

El investigador de ciberseguridad Michael Gillespie mencionó algunas de las contraseñas expuestas, incluidas “Weekendlover69”, “MovingBricks69420” y “Lockbitproud231” 

LockBitSupp, un conocido operador del grupo LockBit, confirmó en un chat de Tox con Rey que la brecha de seguridad fue real. Aun así, el operador insistió en que no se habían perdido claves privadas ni datos críticos. 

https://twitter.com/ReyXBF/status/1920245719434231900

Alon Gal, director de tecnología de Hudson Rock, afirmó que los datos también incluyen compilaciones personalizadas de ransomware y algunas claves de descifrado. Según Gal, si se verifican, las claves podrían ayudar a algunas víctimas a recuperar sus datos sin pagar rescates.

Explotación de vulnerabilidades del servidor

Un análisis del volcado de SQL reveló que el servidor afectado ejecutaba PHP 8.1.2, una versión vulnerable a una falladentcomo “CVE-2024-4577”. Esta vulnerabilidad permite la ejecución remota de código, lo que explica cómo los atacantes lograron infiltrarse y exfiltrarse en los sistemas backend de LockBit. 

Los profesionales de seguridad creen que el estilo del mensaje desfigurado podría vincular eldent con una reciente vulneración del sitio web del ransomware Everest, que utilizó la misma frase "EL CRIMEN ES MALO". La similitud sugiere que el mismo actor o grupo podría estar detrás de ambosdent, aunque no se ha confirmado una atribución clara.

Los piratas informáticos responsables de la violación no se han presentado, pero Kevin Beaumont, una empresa de seguridad con sede en el Reino Unido, dijo que el grupo DragonForce podría ser el responsable. 

"Alguien ha hackeado LockBit. Supongo que es DragonForce", escribió en Mastodon.

Según la BBC, DragonForce supuestamente estuvo involucrado en varios ciberataques a minoristas del Reino Unido, incluidos Marks & Spencer, Co-op y Harrods.

En 2024, la Operación Cronos, un esfuerzo multinacional liderado por el Reino Unido en el que participaron organismos policiales de diez países, incluido el Buró Federal de Investigaciones (FBI), detuvo temporalmente las actividades de LockBit, aunque el grupo finalmente resurgió.

Según se informa, la operación derribó 34 servidores, confiscó billeteras de criptomonedas y descubrió más de 1.000 claves de descifrado. 

Las autoridades creen que los operadores de LockBit tienen su sede en Rusia, una jurisdicción en la que sería difícil llevarlos ante la justicia. Las bandas de ransomware centran sus operaciones dentro de las fronteras de Rusia porque los arrestos directos son casi imposibles.