La pandilla de ransomware Lockbit sufrió una violación de datos después de que sus paneles de afiliación web oscuro se han degradado y reemplazado por un mensaje que se conecta a la base de datos MySQL.
Todos los letreros de administración de pandillas de ransomware ahora indican. “No hagas un crimen El crimen es malo Xoxo de praga, “con un enlace para descargar un” paneldb_dump.zip. “
Como primer lugar Por el actor de amenaza, Rey, este archivo contiene un archivo SQL vacío de la base de datos MySQL del panel de afiliación del sitio.
Según el análisis de BleepingCompute, esta base de datos contiene veinte tablas, con un poco más interesante que otras, en particular:
- A ‘btc_address‘Tabla que contiene 59,975 direcciones únicas de bitcoin.
- A ‘construcción“La tabla contiene las versiones individuales creadas por los afiliados para los ataques. Las filas de la mesa contienen claves públicas, pero no hay claves privadas, desafortunadamente. Los nombres de las compañías específicas también se enumeran para algunas de las versiones.
- A ‘Builds_configurations‘La tabla contiene las diferentes configuraciones utilizadas para cada versión, como los servidores están saltando o encriptando.
- A ‘gato“La mesa es muy interesante porque contiene 4.442 mensajes de negociación entre las operaciones de ransomware y las víctimas del 19 de diciembre al 29 de abril.
Tabla de “gatos” del panel de afiliación - A ‘usuarios“La tabla enumera a 75 administradores y afiliados que tenían acceso al panel de afiliación, con Michael Gillespie Identifique que las contraseñas se han almacenado en texto en Clear. Los ejemplos de algunas de las palabras de texto en el texto transparente son “Week3Lover69,” Mobt -bricks69420 “y” LockbitProud231 “.
En Conversación de toxEl operador Lockbit conocido como “Lockbitsupp” confirmó la violación, lo que indica que no se ha revelado o perdido datos privados.
Basado en la hora del tiempo de generación de vaciado de MySQL y la última grabación de fecha en la tabla de gatos de negociación, la base de datos parece haberse retirado en un momento dado el 29 de abril de 2025.
No sabemos quién hizo la violación y la forma en que se hizo, pero el mensaje de autorización corresponde al utilizado en una violación reciente del sitio web de ransomware oscuro del Everest, lo que sugiere un posible enlace.
Además, el vaciado SQL PhPMyadmin muestra que el servidor ejecutó PHP 8.1.2, que es vulnerable a la vulnerabilidad crítica y explotado activamente como CVE-2024-4577 que puede usarse para obtener una ejecución de código remoto en los servidores.
En 2024, una operación para aplicar la ley llamada operación Cronos eliminó la infraestructura de Lockbit, incluidos 34 servidores que alojan el sitio web de fuga de datos y sus espejos, los datos robados de víctimas, direcciones de criptomonedas, 1000 claves de descifrado y el panel de afiliación.
Aunque Lockbit logró reconstruir y reanudar las operaciones después de la retirada, esta última violación está ayudando a su reputación ya dañada.
Es demasiado pronto para decir que si esta reputación adicional fue el último clavo del ataúd de pandillas de ransomware.
Los otros grupos de ransomware que han experimentado fugas similares incluyen Conti, Black Basta y Everest.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.