El grupo de ransomware LockBit ha sido víctima de una violación de datos que ha ocasionado la filtración de su red de afiliados, así como las tácticas de extorsión y negociación que han empleado con sus víctimas y cerca de 60.000 direcciones de bitcoin únicas.
La banda de actores maliciosos, que comparte nombre con el ransomware que utilizan, LockBit, apareció en 2019 como un servicio ransomware-as-a-service (RaaS), es decir, que desarrolla el malware y las herramientas necesarias para su ejecución y concede licencias a sus afiliados para lanzar ataques.
Así, su sus ataques bloquean el acceso a la información de un equipo infectado, o a parte de ella, para exigir un pago a cambio de su liberación, y se considera uno de los ransomware más prolíficos, con cerca de 1800 ataques.
Ahora, el propio grupo de ransomware ha sufrido una violación de datos que ha expuesto información interna. En concreto, tras el ataque, los paneles de afiliados de LockBit en la dark web han sido desconfigurados y reemplazados por un mensaje que detalla “No delinquir. El crimen es malo. Besos y abrazos desde Praga”.
Junto a este mensaje, tal y como ha compartido el actor de amenazas conocido como Rey en una publicación en X (antigua Twitter), también se muestra un enlace para descargar un archivo nombrado como ‘paneldb_dump.zip’, que contiene un archivo SQL extraído de la base de datos MySQL del panel de afiliados del grupo de ransomware.
Así, según ha podido confirmar Bleeping Computer, tras analizar esta base de datos SQL, se han filtrado un total de veinte tablas que incluyen datos sensibles de la agrupación, como compilaciones individuales creadas por los afiliados para los ataques e, incluso, empresas objetivo de los actores maliciosos.
Siguiendo esta línea, una de las tablas denominada ‘builds_configurations’ incluye las diferentes configuraciones que utilizan los actores maliciosos para cada compilación. Es decir, sus modus operandi, como qué archivos cifrar en un ataque.
En esta filtración de la base de datos también se ha compartido una tabla de chats que contiene mensajes de negociación entre los ciberatacantes y las víctimas. Además de todo ello, también se ha filtrado una tabla ‘btc_addresses’ que detalla un total de 59.975 direcciones de bitcoin únicas.
Con todo ello, el medio citado ha detallado que según sus análisis y el último registro de fecha en la tabla de los chats, se trata de una base de datos que fue volcada a finales del pasado mes de abril, aunque se desconoce el autor de esta violación.
Esta no es la primera vez que el grupo de ransomware se ve afectado por un ataque, ya que en febrero de 2024 la operación policial Cronos consiguió derribar la infraestructura de LockBit, incluidos 34 servidores que albergaban el sitio web de la filtración de datos, datos robados a las víctimas y direcciones de criptomonedas.
También se procedió al arresto de actores vinculados a LockBit en Polonia y Ucrania, y han congelado más de 200 cuentas de criptomonedas vinculadas a la organización.
