Grupo de ransomware LockBit é hackeado e 60 mil endereços Bitcoin são vazados

O grupo de ransomware LockBit foi alvo de um ataque cibernético que expôs suas operações internas. Quase 60.000 endereços de carteiras Bitcoin associados às atividades do grupo foram vazados, juntamente com milhares de comunicações de vítimas e registros detalhados de sua infraestrutura de back-end.

A violação, detectada inicialmente pelo pesquisador de crimes cibernéticos Rey na noite de quarta-feira, ocorreu no final de abril de 2025. Os painéis de afiliados da LockBit na dark web foram adulterados e substituídos por uma mensagem que dizia: “Não cometa crimes. CRIME É RUIM. Beijos de Praga”, com um link para um arquivo de banco de dados MySQL intitulado “paneldb_dump.zip” 

https://twitter.com/ReyXBF/status/1920220381681418713

“Uma análise básica do banco de dados indica que o vazamento foi criado por volta de 29 de abril, sugerindo que a LockBit foi comprometida nessa data ou antes, e posteriormente desfigurada em 7 de maio”, confirmou Rey. 

Exposição de dados em painel

Segundo Rey, citando uma análise da publicação de cibersegurança BleepingComputer, havia cerca de 20 tabelas no banco de dados vazado, incluindo uma tabela 'btc_addresses' que listava 59.975 endereços únicos de carteiras Bitcoin conectados aos pagamentos do ransomware LockBit.

Outros dados relevantes no vazamento incluem uma tabela de "compilações", que detalha os payloads de ransomware criados por afiliados da LockBit. A tabela inclui chaves de criptografia públicas e, em alguns casos, nomes de empresas visadas. 

A tabela 'builds_configurations' mostrava quais arquivos ou servidores os afiliados configuraram para evitar ou criptografar seus ataques, além de diversas outras táticas operacionais usadas em campanhas anteriores de ransomware.

Conforme demonstrado em uma tabela intitulada "chats", houve mais de 4.400 mensagens de negociação entre afiliados da LockBit e vítimas, abrangendo o período de 19 de dezembro de 2024 a 29 de abril de 2025. 

pic.twitter.com/gjbtzQg9VM

— Ransom-DB (@Ransom_DB) 8 de maio de 2025

O vazamento também expõe uma tabela de "usuários" listando 75 administradores e afiliados da LockBit com acesso ao painel administrativo do grupo. Os especialistas em segurança ficaram chocados ao descobrir que as senhas dos usuários estavam armazenadas em texto simples. 

O pesquisador de cibersegurança Michael Gillespie mencionou algumas das senhas expostas, incluindo “Weekendlover69”, “MovingBricks69420” e “Lockbitproud231” 

LockBitSupp, um operador conhecido do grupo LockBit, confirmou em um chat do Tox com Rey que a violação era real. Mesmo assim, o operador insistiu que nenhuma chave privada ou dado crítico havia sido perdido. 

https://twitter.com/ReyXBF/status/1920245719434231900

Alon Gal, diretor de tecnologia da Hudson Rock, afirmou que os dados também incluem versões personalizadas de ransomware e algumas chaves de descriptografia. Segundo Gal, se verificadas, as chaves podem ajudar algumas vítimas a recuperar seus dados sem pagar resgates.

Exploração de vulnerabilidades do servidor

Uma análise do dump SQL revelou que o servidor afetado estava executando o PHP 8.1.2, uma versão vulnerável a uma falhadentcomo “CVE-2024-4577”. Essa vulnerabilidade permite a execução remota de código, o que explica como os invasores conseguiram infiltrar e exfiltrar os sistemas de backend da LockBit. 

Especialistas em segurança acreditam que o estilo da mensagem de desfiguração pode ligar odent a uma recente violação do site do ransomware Everest, que usou a mesma frase "CRIME IS BAD" (CRIME É RUIM). A semelhança sugere que o mesmo agente ou grupo pode estar por trás de ambos osdent, embora nenhuma atribuição clara tenha sido confirmada.

Os hackers responsáveis ​​pela invasão não se identificaram, mas Kevin Beaumont, de uma empresa de segurança sediada no Reino Unido, afirmou que o grupo DragonForce pode ser o culpado. 

"Alguém hackeou o LockBit. Eu apostaria na DragonForce", escreveu ele no Mastodon.

Segundo a BBC, o grupo DragonForce estaria envolvido em diversos ciberataques contra varejistas do Reino Unido, incluindo Marks & Spencer, Co-op e Harrods.

Em 2024, a Operação Cronos, um esforço multinacional liderado pelo Reino Unido e envolvendo agências de aplicação da lei de dez países, incluindo o FBI (Federal Bureau of Investigation), interrompeu temporariamente as atividades da LockBit, embora o grupo tenha eventualmente ressurgido.

Segundo informações, a operação desativou 34 servidores, confiscou carteiras de criptomoedas e descobriu mais de 1.000 chaves de descriptografia. 

As autoridades acreditam que os operadores do LockBit estão baseados na Rússia, uma jurisdição onde seria difícil levá-los à justiça. Os grupos de ransomware concentram suas operações dentro das fronteiras da Rússia porque prisões diretas são praticamente impossíveis.