La infame operación de ransomware Lockbit sufre de grandes violaciones. El atacante contaminó la infraestructura web oscura y filtró una base de datos integral que contiene detalles operativos confidenciales el 7 de mayo.
Hack está recibiendo un gran golpe a uno de los grupos de ransomware más prolíficos del mundo.
Los visitantes del sitio web oscuro de Lockbit son recibidos con un mensaje rebelde junto con un enlace que dice: “Los crímenes criminales son malos xoxo” junto con un enlace para descargar un archivo llamado “paneldb_dump.zip” que contiene un volcado de base de datos MySQL.
El sitio web ha sido pirateado
Los investigadores de seguridad han verificado la autenticidad de los datos filtrados, que contiene un tesoro de información sobre las operaciones de ransomware.
La base de datos incluye aproximadamente 60,000 direcciones únicas de billetera de bitcoin utilizadas para pagar rescates, 4,442 mensajes de negociación entre los operadores de Lockbit y sus víctimas de diciembre a finales de abril, así como detalles del ransomware personalizado creado para un ataque particular.
Dirección bitcoin
Quizás lo más vergonzoso, Leak ha publicado una tabla de usuarios que contiene contraseñas de texto sin formato para 75 administradores y marketing de afiliados.
El cofundador de Hudson Rock y CTO Aron Gal ha sido llamado una violación de la “mina de oro para la aplicación de la ley”, que rastrea los pagos de criptomonedas y ayuda enormemente a atribuir ataques a ciertos actores de amenazas.
Datos de la empresa
Lockbit trató de minimizar el incidente. En un mensaje publicado en el sitio de filtración en texto cirílico, el grupo afirmó: “El 7 de mayo, pirateamos el panel de luz con Autorregistration para todos, tomando la base de datos en lugar del descifrador único, en lugar de los datos de la compañía robada, en lugar del impacto”, afirmó. El grupo proporciona pago de información sobre los piratas informáticos basados en Praga responsables de la violación.
El hack se produce meses después de la Operación Cronos, una acción de aplicación de la ley coordinada que interrumpe temporalmente la infraestructura de Lockbit en febrero de 2024.
El grupo pudo reconstruir las operaciones y reanudar, pero su reputación ya había sufrido una pérdida importante. Los investigadores señalaron que muchas de las recientes reclamos de víctimas fueron recicladas de ataques anteriores u otros grupos de ransomware.
Esta violación se asemeja a un reciente ataque a las operaciones de Sweware de restaurantes de la oveja, utilizando el mismo mensaje de constricción. Los investigadores de ciberseguridad especulan que ambos ataques pueden estar relacionados con una vulnerabilidad crítica en PHP 8.1.2 (CVE-2024-4577) que permite la ejecución de código remoto.
Para Lockbit, quien fue responsable de alrededor del 44% de todos los incidentes de ransomware en todo el mundo a principios de 2023, esta violación representa un revés catastrófico que podría socavar los fideicomisos de afiliados e interferir aún más con sus operaciones.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
