MADRI 9 maio (Portaltic/EP) -
O grupo de ransomware LockBit foi vítima de uma violação de dados que levou ao vazamento de sua rede de afiliados, bem como às táticas de extorsão e negociação que eles empregaram com suas vítimas e quase 60.000 endereços exclusivos de bitcoin.
A gangue de agentes mal-intencionados, que compartilha o nome do ransomware que usam, LockBit, surgiu em 2019 como um serviço de ransomware como serviço (RaaS), ou seja, desenvolve o malware e as ferramentas necessárias para executá-lo e licencia suas afiliadas para lançar ataques.
Assim, seus ataques bloqueiam o acesso a informações em um computador infectado, ou parte dele, para exigir pagamento em troca de sua liberação, e é considerado um dos ransomwares mais prolíficos, com cerca de 1.800 ataques.
Agora, o próprio grupo de ransomware sofreu uma violação de dados que expôs informações internas. Especificamente, após o ataque, os painéis de afiliados do LockBit na dark web foram retirados do ar e substituídos por uma mensagem detalhando "No crime. O crime é ruim. Abraços e beijos de Praga".
Juntamente com essa mensagem, compartilhada pelo agente de ameaças conhecido como Rey em um post no X (antigo Twitter), há também um link para baixar um arquivo chamado 'paneldb_dump.zip', que contém um arquivo SQL extraído do banco de dados do painel de afiliados MySQL do grupo de ransomware.
A Bleeping Computer confirmou que, após analisar esse banco de dados SQL, um total de vinte tabelas foram vazadas, incluindo dados confidenciais do grupo, como compilações individuais criadas por afiliados para os ataques e até mesmo empresas visadas pelos agentes maliciosos.
Nesse sentido, uma das tabelas denominada 'builds_configurations' inclui as diferentes configurações usadas pelos agentes mal-intencionados para cada compilação. Em outras palavras, seu modus operandi, como, por exemplo, quais arquivos criptografar em um ataque.
Nesse vazamento de banco de dados, também foi compartilhada uma tabela de "chats" que contém mensagens de negociação entre os atacantes cibernéticos e as vítimas. Além disso, uma tabela "btc_addresses" também foi vazada, detalhando um total de 59.975 endereços exclusivos de bitcoin.
Com tudo isso, a mídia acima mencionada detalhou que, de acordo com sua análise e o registro da última data na tabela 'chats', é um banco de dados que foi despejado no final de abril passado, embora o autor dessa violação seja desconhecido.
Esta não é a primeira vez que o grupo de ransomware foi atingido por um ataque, já que em fevereiro de 2024, a operação policial Cronos derrubou a infraestrutura do LockBit, incluindo 34 servidores que hospedavam o site de violação de dados, dados roubados de vítimas e endereços de criptomoedas.
Eles também prenderam atores ligados ao LockBit na Polônia e na Ucrânia e congelaram mais de 200 contas de criptomoeda ligadas à organização.
Esta notícia foi traduzida por um tradutor automático