La notoria pandilla de ransomware Lockbit, que todavía lidia con las consecuencias de un importante derribo de la aplicación de la ley a principios de 2024, ha recibido otro golpe severo.
El 7 de mayo, los atacantes violaron y desfiguraron los paneles de la web de Lockbit, los paneles de los afiliados de la red de Lockbit, obteniendo una base de datos mysql crítica que cuestionan los secretos operativos del grupo. Esta última falla de seguridad, según lo informado por BleepingComuter , expuesta una matriz sensitiva de información sensitiva: casi 60,000 bitco de bitco. El ransomware se construye, más de 4,400 chats de negociación de víctimas privadas y, en una impresionante visualización de mala seguridad operativa, las contraseñas de texto sin formato para 75 cuentas de administrador y afiliado.
paneles de afirmación web oscura de la pandilla de ransomware Lockbit fueron alteradas y reemplazadas con un mensaje que vincula a un volcado de la base de datos mySQL. src=”https://winbuzzer.com/wp-content/uploads/2023/10/cybercrime-hackers-hackers-hacking-phishing-ransomware-cyberattack.jpg”>
El mensaje de defensa dejado en los paneles de la red oscura de los atacantes de los atacantes fue una taza:”No hacer el crimen es malo es de mala xoxo de pAgue”. La violación no solo erosiona más la reputación de Lockbit ya empañada dentro del inframundo del delito cibernético, sino que también proporciona un tesoro potencial de inteligencia para las agencias y víctimas globales de la ley. paisaje. For businesses and individuals, this serves as a potent reminder of the importance of stringent cybersecurity hygiene.
The attack follows “Operation Cronos”, an international law enforcement initiative in February 2024, which led to the public identification of Dmitry Yuryevich Khoroshev, also known as ‘LockBitSupp,’ as the alleged kingpin of the LockBit ransomware syndicate. Posteriormente, Khoroshev fue sancionado, y se ofreció una recompensa de $ 10 millones por información que condujo a su captura. A pesar de esa gran interrupción, Lockbit había logrado reagruparse, haciendo que esta nueva violación sea particularmente dañina para sus intentos de resurgimiento.
La naturaleza interconectada del delito cibernético complica aún más los esfuerzos para desmantelar sus redes. El análisis continuo de los datos de Lockbit recién filtrados, sin duda, proporcionará más piezas a este rompecabezas complejo.
falla catastrófica OPSEC y la intel filtrada
la base de datos, que se cree que se exfiltró alrededor del 29 de abril, una imagen dañada de las prácticas de seguridad internas de Lockbit. Investigador de seguridad Michael Gillespie señaló el uso aficionado de las contraseñas de texto sin formato como”WeekeLover69″y”LockbitProud231″.
Las implicaciones de los datos filtrados son de lejos. La exposición de decenas de miles de direcciones de bitcoin podría ayudar significativamente a los investigadores financieros a rastrear las ganancias ilícitas de Lockbit.
Los 4.400 mensajes de negociación de víctimas, que abarcan desde diciembre de 2024 hasta abril de 2025, ofrecen evidencia directa de los métodos de extorsión del grupo. Además, el Malware Research Collective vx-subterráneo anunció en x que están analizando el volcado.
Esto sugiere que los datos podrían conducir a la identificación de más afiliados de Lockbit. Además de los problemas de Lockbit, a raíz de la violación, el sitio de fuga de datos primario del grupo ha estado experimentando interrupciones intermitentes.
desentrañando el ataque y las preguntas persistentes
, mientras que la identidad de los atacantes y sus métodos precisos siguen sin confirmar, el mensaje de la misma composición de los especificados o el de los especificados de los especificados de los especificaciones. imitador. Según los informes, BleepingComputer también destacó una vulnerabilidad significativa: el servidor de Lockbit comprometido se ejecutaba PhP 8.1.2, una versión susceptible a la falla de ejecución de código remoto crítico CVE-2024-4577 .
El operador de Lockbit,”Lockbitsupp”, según se informa, reconoció la violación en una conversación de Tox con el actor de amenaza ‘Rey’ , quien vio por primera vez el desfigurado. Sin embargo, LockbitsUpp intentó minimizar el daño, alegando que no se perdieron claves privadas, una declaración que parece contradicida por la naturaleza integral de la base de datos filtrada.
Un patrón de eliminación de ransomware y evoluciones
Este incidente es el último en una serie de interrupciones que afectan las operaciones de ranomware de ransomware. Grupos como Conti y Black Basta han sufrido previamente fugas internas y acciones de aplicación de la ley. El panorama del delito cibernético se caracteriza por una evolución constante, con nuevos grupos como Vanhelsing emergiendo con plataformas Raas sofisticadas, a menudo imitando las tácticas de sus predecesores, pero también aprenden de sus errores, o, en el caso de Lockbit, de no poder. Se basa en el uso innovador de herramientas de inteligencia artificial (IA) para ayudar en el desarrollo de malware. Esta tendencia de aprovechar la IA para mejorar las capacidades de ataque se confirmó aún más en A Grupo de inteligencia de amenazas de Google (GTIG) Informe en enero
