El grupo de ransomware LockBit ha sido hackeado tras un ataque que comprometió sus paneles de afiliados en la dark web.
Los paneles fueron defaceados y reemplazados con un mensaje que vinculaba a una descarga de una base de datos MySQL.
El mensaje decía: “No cometan crímenes, EL CRIMEN ES MALO, xoxo desde Praga”, seguido de un enlace para descargar un archivo denominado “paneldb_dump.zip”.
Detalles del Breach
El archivo paneldb_dump.zip contiene una voluminosa base de datos SQL que incluye 20 tablas, algunas de las cuales son muy reveladoras.
El análisis de la base de datos ha desvelado información crítica sobre las operaciones internas del grupo LockBit.
Algunas de las tablas más interesantes incluyen:
- Tabla ‘btc_addresses’: Contiene 59,975 direcciones de Bitcoin únicas utilizadas por los miembros del grupo.
- Tabla ‘builds’: Relacionada con las construcciones realizadas por los afiliados del ransomware, incluye claves públicas de las construcciones, aunque no las claves privadas. También se listan los nombres de las empresas objetivo de los ataques.
- Tabla ‘builds_configurations’: Muestra las configuraciones usadas para cada ataque, como qué servidores ESXi evitar o qué archivos encriptar.
- Tabla ‘chats’: Contiene 4,442 mensajes de negociación entre los operadores de LockBit y las víctimas de los ataques, abarcando el período entre el 19 de diciembre de 2024 y el 29 de abril de 2025.
- Tabla ‘users’: Listado de 75 administradores y afiliados con acceso al panel de afiliados, donde se descubrió que las contraseñas estaban almacenadas en texto claro. Ejemplos de estas contraseñas incluyen ‘Weekendlover69’, ‘MovingBricks69420’ y ‘Lockbitproud231’.
Reacciones y Confirmación del Grupo LockBit
En una conversación en Tox con Rey, un operador de LockBit conocido como ‘LockBitSupp’.. Confirmó la violación de seguridad, aunque el operador negó que se hayan filtrado claves privadas o que se haya perdido alguna información crítica.
Según la fecha de generación del volcado MySQL y el último registro en la tabla de chats de negociación, el ataque ocurrió alrededor del 29 de abril de 2025.
Contexto y Posible Responsables
Aún no está claro quién llevó a cabo la violación, ni cómo se realizó el ataque.
Aunque el mensaje de defacement que acompaña el ataque es similar al utilizado en un incidente reciente relacionado con la dark web del ransomware Everest, lo que sugiere una posible conexión entre los actores involucrados.
El grupo LockBit había sido golpeado anteriormente en 2024 por una operación policial llamada Operación Cronos que desmanteló gran parte de su infraestructura, incluyendo 34 servidores que albergaban su sitio de filtración de datos y otros recursos críticos.
Impacto en la Reputación de LockBit
Aunque LockBit logró recuperarse y continuar con sus operaciones tras la desarticulación de su infraestructura en 2024, este último incidente representa otro golpe a su ya dañada reputación.
Aún es incierto si este ataque tendrá un impacto duradero en las operaciones del grupo o si será el último clavo en su ataúd.
Otros grupos de ransomware, como Conti, Black Basta y Everest, también han experimentado filtraciones de datos similares; lo que subraya la creciente vulnerabilidad de las bandas de ransomware a las mismas tácticas que emplean para atacar a sus víctimas.
Conclusión
Este incidente pone de manifiesto la continua evolución de la ciberseguridad y las tácticas de los cibercriminales que no solo extorsionan a las empresas, sino que ahora también se enfrentan a ataques desde el mismo ámbito en el que operan.