Según Cointelegraph, casi 60,000 direcciones de Bitcoin asociadas con la infraestructura de ransomware de LockBit han sido expuestas tras una violación del panel de afiliados de la red oscura del grupo. Esta filtración incluyó un volcado de base de datos MySQL compartido públicamente en línea, que contenía información relacionada con criptomonedas que podría ayudar a los analistas de blockchain a rastrear las actividades financieras ilícitas del grupo.
El ransomware, un tipo de malware utilizado por cibercriminales, bloquea archivos o sistemas informáticos, volviéndolos inaccesibles. Los atacantes suelen exigir pagos de rescate, a menudo en activos digitales como Bitcoin (BTC), a cambio de claves de descifrado para desbloquear los archivos. LockBit es reconocido como uno de los grupos de ransomware criptográfico más notorios. En febrero de 2024, una operación conjunta que involucró a diez países buscó interrumpir al grupo, citando miles de millones en daños a la infraestructura crítica.
A pesar de la filtración de casi 60,000 billeteras de Bitcoin, no se comprometieron claves privadas. Una conversación compartida por un usuario de X con un operador de LockBit confirmó la violación, pero el personal de LockBit aseguró que no se perdieron claves privadas ni datos. Analistas de Bleeping Computer señalaron que la base de datos contenía veinte tablas, incluida una tabla de "builds" con construcciones individuales de ransomware creadas por los afiliados de la organización. Los datos también incluían algunas empresas objetivo para estas construcciones.
Además, la base de datos filtrada presentaba una tabla de "chats", que contenía más de 4,400 mensajes de negociación entre víctimas y la organización de ransomware. Los orígenes de la violación siguen siendo inciertos, pero los analistas de Bleeping Computer sugirieron una posible conexión con la violación del sitio de ransomware Everest, ya que el mensaje utilizado en ambos incidentes coincidía.
Esta violación subraya el papel significativo de la criptomoneda en la economía del ransomware. A las víctimas se les asigna típicamente una dirección para pagar su rescate, lo que permite a los afiliados monitorear los pagos mientras intentan oscurecer los vínculos con sus billeteras principales.
