El grup de programari de segrest LockBit ha estat víctima d’una violació de dades que ha ocasionat la filtració de la xarxa d’afiliats, com també les tàctiques d’extorsió i negociació que han emprat amb les seves víctimes i prop de 60.000 adreces de bitcoin úniques.

 La banda d’actors maliciosos, que comparteix nom amb el programari de segrest que fan servir, LockBit, va aparèixer el 2019 com un servei de ‘ransomware-as-a-service’ (RaaS), és a dir, que desenvolupa el programari de segrest i les eines necessàries per a la seva execució i concedeix llicències als seus afiliats per llançar atacs.

D’aquesta manera, els seus atacs bloquegen l’accés a la informació d’un equip infectat, o a part d’ella, per exigir un pagament a canvi del seu alliberament, i es considera un dels programaris de segrest més prolífics, amb prop de 1.800 atacs.

   Ara, el mateix grup de programari de segrest ha patit una violació de dades que ha exposat informació interna. En concret, després de l’atac, els panells d’afiliats de LockBit al web fosc han estat desconfigurats i reemplaçats per un missatge que detalla “No delinquir. El crim és dolent. Petons i abraçades des de Praga”.

Al costat d’aquest missatge, tal com ha compartit l’actor d’amenaces conegut com a Rey en una publicació a X (antiga Twitter), també es mostra un enllaç per descarregar un arxiu anomenat ‘paneldb_dump.zip’, que conté un fitxer SQL extret de la base de dades MySQL del panell d’afiliats del grup de programari de segrest.

   Així, segons ha pogut confirmar Bleeping Computer, després d’analitzar aquesta base de dades SQL, s’han filtrat un total de vint taules que inclouen dades delicades de l’agrupació, com a compilacions individuals creades pels afiliats per als atacs i, fins i tot, empreses objectiu dels actors maliciosos.

   Seguint aquesta línia, una de les taules anomenada ‘builds_configurations’ inclou les diferents configuracions que fan servir els actors maliciosos per a cada compilació. És a dir, els seus modus operandi, com ara quins arxius xifrar en un atac.

   En aquesta filtració de la base de dades també s’ha compartit una taula ‘xats’ que conté missatges de negociació entre els ciberatacants i les víctimes. A més de tot això, també s’ha filtrat una taula ‘btc_addresses’ que detalla un total de 59.975 adreces de bitcoin úniques.

   Amb tot això, el mitjà esmentat ha detallat que segons les seves anàlisis i el darrer registre de data a la taula dels xats, es tracta d’una base de dades que va ser bolcada a finals del mes d’abril passat, encara que es desconeix l’autor d’aquesta violació.

   Aquesta no és la primera vegada que el grup de programari de segrest es veu afectat per un atac perquè el febrer de 2024, l’operaciópolicial Cronos va aconseguir enderrocar la infraestructura de LockBit, inclosos 34 servidors que allotjaven el lloc web de la filtració de dades, dades robades a les víctimes i adreces de criptomonedes.

També es va procedir a l’arrest d’actors vinculats a Lockbit a Polònia i Ucraïna, i han congelat més de 200 comptes de criptomonedes vinculades a l’organització.