La popular banda de ransomware LockBit ha recibido una dosis de su propia medicina. Esta ha sufrido una violación de datos, después de que sus paneles de afiliados de la dark web fueran desfigurados y reemplazados por un mensaje que enlazaba con un volcado de base de datos MySQL.
Tras el hackeo todos sus paneles de administración incluyen un mensaje que indica: "No hagas el crimen. El CRIMEN ES MALO xoxo desde Praga". Además, se acompaña de un archivo SQL volcado de la base de datos MySQL del panel de afiliados del sitio.
La base de datos filtrada incluye 20 tablas. Entre ellas hay una de builds, la cual comprende las versiones de ransomware que han creado los miembros de la organización.
Igualmente, existe otra con casi 60.000 direcciones únicas de bitcoins para realizar pagos.
Asimismo, otra tabla de compilaciones contiene las compilaciones individuales creadas por los afiliados para los ataques. Las filas incluyen las claves públicas, pero no la claves privadas.
También hay otra de chats, en la que se registraron más de 4.400 mensajes de negociación con las víctimas desde el 19 de diciembre hasta el 29 de abril. Esta es, quizás, la más interesante.
Además, se puede encontrar una tabla de usuarios que enumera 75 administradores y afiliados que tenían acceso al panel de afiliados. Aquí las contraseñas se almacenaban en texto plano.
Desde Bleeping Computer señalan que según el tiempo de generación del volcado de MySQL y el registro de la última fecha en la tabla de chats de negociación, la base de datos parece haber sido volcada en algún momento del 29 de abril.
El origen del incidente
Un análisis pone de manifiesto que el incidente podría estar vinculado con una vulnerabilidad en el sitio de ransomware Everest, ya que el mensaje de desfiguración coincide con el usado en una violación reciente de su sitio en la dark web.
En el pasado otros grupos de ransomware han experimentado filtraciones similares, como Conti, Black Basta y la propia Everest.
La Operación Cronos de 2024 sirvió para desmantelar la infraestructura de LockBit, incluyendo los 34 servidores que alojaban el sitio web de fugas de datos y sus espejos, los datos robados a las víctimas, las direcciones de criptomonedas, etc.
No obstante, el grupo logró reconstruir y reanudar sus operaciones, pero esto es un nuevo golpe que hace más daño a su ya deteriorada reputación.