Quase 60 mil endereços de Bitcoin ligados à infraestrutura de ransomware do LockBit foram vazados após hackers invadirem o painel de afiliados do grupo na dark web.

O vazamento incluiu um dump de banco de dados MySQL compartilhado publicamente na internet. Ele continha informações relacionadas a criptomoedas que podem ajudar analistas de blockchain a rastrear os fluxos financeiros ilícitos do grupo.

Ransomware é um tipo de malware usado por agentes maliciosos. Ele bloqueia os arquivos ou sistemas de computador do alvo, tornando-os inacessíveis. Os invasores geralmente exigem um pagamento de resgate, frequentemente em ativos digitais como Bitcoin (BTC), em troca de uma chave de descriptografia para liberar os arquivos.

O LockBit é um dos grupos de ransomware ligados a criptomoedas mais notórios. Em fevereiro de 2024, 10 países lançaram uma operação conjunta para desarticular o grupo, afirmando que a organização causou bilhões em prejuízos a infraestruturas críticas. 

Fonte: ReyXBF

Nenhuma chave privada de Bitcoin foi vazada

Embora quase 60 mil carteiras de Bitcoin tenham sido expostas, nenhuma chave privada foi incluída. Um usuário do X compartilhou uma conversa com um operador do LockBit, confirmando a violação. No entanto, o integrante do LockBit afirmou que nenhuma chave privada ou dado foi perdido.

Apesar disso, analistas do Bleeping Computer disseram que o banco de dados continha 20 tabelas, incluindo uma tabela chamada “builds”. Nela, estavam armazenadas versões específicas de ransomwares criadas por afiliados da organização. Os dados também identificavam algumas das empresas-alvo dessas versões.

Além disso, o banco de dados vazado incluía uma tabela de “chats”, contendo mais de 4.400 mensagens de negociação entre vítimas e a organização de ransomware.

Hack do LockBit pode estar ligado à violação do Everest ransomware

Ainda não está claro quem foi o responsável pela invasão nem como conseguiu acessar as operações do LockBit, mas os analistas do Bleeping Computer afirmaram que a mensagem usada na violação do site do ransomware Everest era idêntica à usada no caso do LockBit. Os analistas sugerem que pode haver uma ligação entre os dois incidentes.

A violação destacou o papel que as criptomoedas desempenham na economia dos ransomwares. Cada vítima costuma receber um endereço exclusivo para o pagamento do resgate, permitindo que os afiliados monitorem as transações enquanto tentam ocultar vínculos com suas carteiras principais.

A exposição dos endereços permite que autoridades e investigadores de blockchain rastreiem padrões e, potencialmente, vinculem pagamentos de resgate anteriores a carteiras já conhecidas.