La gang del ransomware LockBit viene hackerata, trapelati 60.000 indirizzi Bitcoin

Il gruppo ransomware LockBit è stato colpito da un attacco informatico che ha messo a nudo le sue attività interne. Sono trapelati quasi 60.000 indirizzi di wallet Bitcoin associati alle attività del gruppo, insieme a migliaia di comunicazioni delle vittime e registri dettagliati della sua infrastruttura back-end.

La violazione, notata per la prima volta dal ricercatore di criminalità informatica Rey mercoledì sera, si è verificata alla fine di aprile 2025. I pannelli di affiliazione di LockBit sul dark web sono stati deturpati e sostituiti da un messaggio che recitava: "Non commettere reati. IL CRIMINE È MALE xoxo da Praga", con un collegamento a un dump del database MySQL intitolato "paneldb_dump.zip" 

https://twitter.com/ReyXBF/status/1920220381681418713

"Un'analisi di base del database indica che il dump è stato creato intorno al 29 aprile, il che suggerisce che LockBit è stato compromesso in quella data o prima e successivamente deturpato il 7 maggio", ha confermato Rey. 

Esposizione dei dati nel dump del pannello

Secondo Rey, che cita un'analisi della pubblicazione sulla sicurezza informatica BleepingComputer, nel database trapelato c'erano circa 20 tabelle, tra cui una tabella "btc_addresses" che elencava 59.975 indirizzi univoci di portafogli Bitcoin collegati ai pagamenti ransomware di LockBit.

Altri dati degni di nota nella fuga di notizie includono una tabella "build", che descrive in dettaglio i payload del ransomware creati dagli affiliati di LockBit. La tabella include chiavi di crittografia pubbliche e, in alcuni casi, i nomi delle aziende prese di mira. 

La tabella 'builds_configurations' mostrava quali file o server gli affiliati avevano configurato per evitare o crittografare i propri attacchi, nonché diverse altre tattiche operative utilizzate nelle precedenti campagne ransomware.

Come si evince da una tabella denominata "chat", ci sono stati oltre 4.400 messaggi di negoziazione tra affiliati LockBit e vittime, nel periodo compreso tra il 19 dicembre 2024 e il 29 aprile 2025. 

pic.twitter.com/gjbtzQg9VM

— Ransom-DB (@Ransom_DB) 8 maggio 2025

Il dump ha inoltre rivelato una tabella "utenti" che elenca 75 amministratori e affiliati di LockBit con accesso al pannello di controllo del gruppo. Gli esperti di sicurezza sono rimasti scioccati nello scoprire che le password degli utenti erano memorizzate in chiaro. 

Il ricercatore di sicurezza informatica Michael Gillespie ha menzionato alcune delle password scoperte, tra cui "Weekendlover69", "MovingBricks69420" e "Lockbitproud231" 

LockBitSupp, un noto operatore del gruppo LockBit, ha confermato in una chat di Tox con Rey che la violazione era reale. Tuttavia, l'operatore ha insistito sul fatto che non erano andate perse chiavi private o dati critici. 

https://twitter.com/ReyXBF/status/1920245719434231900

Alon Gal, Chief Technology Officer di Hudson Rock, ha affermato che i dati includono anche build personalizzate di ransomware e alcune chiavi di decrittazione. Secondo Gal, se verificate, le chiavi potrebbero aiutare alcune vittime a recuperare i propri dati senza pagare riscatti.

Sfruttamento delle vulnerabilità del server

Un'analisi del dump SQL ha rivelato che il server interessato eseguiva PHP 8.1.2, una versione vulnerabile a una falladentcome "CVE-2024-4577". La vulnerabilità consente l'esecuzione di codice remoto, il che spiega come gli aggressori siano riusciti a infiltrarsi ed esfiltrare i sistemi backend di LockBit. 

Gli esperti di sicurezza ritengono che lo stile del messaggio di defacement possa collegare l'dent a una recente violazione del sito ransomware Everest, che utilizzava la stessa formulazione "CRIME IS BAD". La somiglianza suggerisce che dietro entrambi glidentpotrebbe esserci lo stesso attore o gruppo, sebbene non sia stata confermata alcuna chiara attribuzione.

Gli hacker responsabili della violazione non si sono fatti avanti, ma Kevin Beaumont, un'organizzazione di sicurezza con sede nel Regno Unito, ha affermato che il responsabile potrebbe essere il gruppo DragonForce. 

"Qualcuno ha hackerato LockBit. Direi DragonForce", ha scritto su Mastodon.

Secondo la BBC, DragonForce sarebbe stata coinvolta in diversi attacchi informatici ai danni di rivenditori del Regno Unito, tra cui Marks & Spencer, Co-op e Harrods.

Nel 2024, l'Operazione Cronos, un'iniziativa multinazionale guidata dal Regno Unito e che ha coinvolto le forze dell'ordine di dieci paesi, tra cui l'FBI (Federal Bureau of Investigation), ha temporaneamente interrotto le attività di LockBit, sebbene il gruppo sia poi riemerso.

Secondo quanto riferito, l'operazione ha bloccato 34 server, confiscato portafogli crittografici e scoperto oltre 1.000 chiavi di decrittazione. 

Le forze dell'ordine ritengono che gli operatori di LockBit abbiano sede in Russia, una giurisdizione in cui sarebbe difficile assicurarli alla giustizia. Le bande di ransomware concentrano le loro operazioni all'interno dei confini russi perché gli arresti diretti sono quasi impossibili.