Quase 60 mil endereços de Bitcoin ligados à infraestrutura de ransomware do LockBit foram vazados após hackers invadirem o painel de afiliados do grupo na dark web.
O vazamento incluiu um dump de banco de dados MySQL compartilhado publicamente na internet. Ele continha informações relacionadas a criptomoedas que podem ajudar analistas de blockchain a rastrear os fluxos financeiros ilícitos do grupo.
Ransomware é um tipo de malware usado por agentes maliciosos. Ele bloqueia os arquivos ou sistemas de computador do alvo, tornando-os inacessíveis. Os invasores geralmente exigem um pagamento de resgate, frequentemente em ativos digitais como Bitcoin (BTC), em troca de uma chave de descriptografia para liberar os arquivos.
O LockBit é um dos grupos de ransomware ligados a criptomoedas mais notórios. Em fevereiro de 2024, 10 países lançaram uma operação conjunta para desarticular o grupo, afirmando que a organização causou bilhões em prejuízos a infraestruturas críticas.
Nenhuma chave privada de Bitcoin foi vazada
Embora quase 60 mil carteiras de Bitcoin tenham sido expostas, nenhuma chave privada foi incluída. Um usuário do X compartilhou uma conversa com um operador do LockBit, confirmando a violação. No entanto, o integrante do LockBit afirmou que nenhuma chave privada ou dado foi perdido.
Apesar disso, analistas do Bleeping Computer disseram que o banco de dados continha 20 tabelas, incluindo uma tabela chamada “builds”. Nela, estavam armazenadas versões específicas de ransomwares criadas por afiliados da organização. Os dados também identificavam algumas das empresas-alvo dessas versões.
Além disso, o banco de dados vazado incluía uma tabela de “chats”, contendo mais de 4.400 mensagens de negociação entre vítimas e a organização de ransomware.
Hack do LockBit pode estar ligado à violação do Everest ransomware
Ainda não está claro quem foi o responsável pela invasão nem como conseguiu acessar as operações do LockBit, mas os analistas do Bleeping Computer afirmaram que a mensagem usada na violação do site do ransomware Everest era idêntica à usada no caso do LockBit. Os analistas sugerem que pode haver uma ligação entre os dois incidentes.
A violação destacou o papel que as criptomoedas desempenham na economia dos ransomwares. Cada vítima costuma receber um endereço exclusivo para o pagamento do resgate, permitindo que os afiliados monitorem as transações enquanto tentam ocultar vínculos com suas carteiras principais.
A exposição dos endereços permite que autoridades e investigadores de blockchain rastreiem padrões e, potencialmente, vinculem pagamentos de resgate anteriores a carteiras já conhecidas.