MADRID, 9 de mayo. (CIBERPRO) –
El grupo de ‘ransomware’ LockBit ha sufrido una violación de datos que ha provocado la filtración de su red de afiliados, así como las tácticas de extorsión y negociación utilizadas con sus víctimas, además de cerca de 60.000 direcciones únicas de bitcoin.
Esta banda de cibercriminales, que comparte su nombre con el ‘ransomware’ que emplean, LockBit, apareció en 2019 como un servicio de ‘ransomware-as-a-service’ (RaaS), lo que significa que desarrolla el ‘malware’ y las herramientas necesarias para su implementación, otorgando licencias a sus afiliados para llevar a cabo ataques.
Los ataques de estos grupos bloquean el acceso a la información de un sistema infectado, o a parte de ella, para exigir un pago a cambio de su restauración. Se considera uno de los ‘ransomware’ más activos, contabilizando aproximadamente 1.800 ataques.
Recientemente, el propio grupo de ‘ransomware’ ha sido víctima de una violación de datos que ha expuesto información interna. En concreto, tras el ataque, los paneles de afiliados de LockBit en la ‘dark web’ fueron desconfigurados y sustituidos por un mensaje que dice: «No delinquir. El crimen es malo. Besos y abrazos desde Praga».
Junto con este mensaje, el actor de amenazas conocido como Rey compartió en una publicación en X (anteriormente Twitter) un enlace para descargar un archivo llamado ‘paneldb_dump.zip’, que contiene un archivo SQL extraído de la base de datos MySQL del panel de afiliados del grupo de ‘ransomware’.
Según ha confirmado Bleeping Computer, tras analizar esta base de datos SQL, se han expuesto un total de veinte tablas que contienen datos sensibles de la agrupación, como compilaciones individuales realizadas por los afiliados para los ataques e incluso las empresas objetivo de los cibercriminales.
En esta filtración, una de las tablas llamada ‘builds_configurations’ incluye las diversas configuraciones que utilizan los actores maliciosos para cada compilación, detallando su modus operandi, como qué archivos cifrar durante un ataque.
Además, se ha compartido una tabla ‘chats’ que contiene mensajes de negociación entre los ciberatacantes y sus víctimas. También se ha filtrado una tabla ‘btc_addresses’ que detalla un total de 59.975 direcciones únicas de bitcoin.
Con todo esto, el medio mencionado ha señalado que según sus análisis y la última fecha registrada en la tabla de ‘chats’, se trata de una base de datos que fue volcada a finales del mes pasado, aunque se desconoce quién fue el autor de esta violación.
No es la primera vez que el grupo de ‘ransomware’ se ve afectado por un ataque, ya que en febrero de 2024, la operación policial Cronos logró desmantelar la infraestructura de LockBit, incluyendo 34 servidores que albergaban el sitio web de filtración de datos, información robada a las víctimas y direcciones de criptomonedas.
Además, se realizaron arrestos de individuos vinculados a LockBit en Polonia y Ucrania, y se congelaron más de 200 cuentas de criptomonedas asociadas a la organización.
