TLDR
Os painéis de afiliados da gangue de ransomware LockBit na dark web foram hackeados e desfigurados com a mensagem “Não cometa crimes CRIME É RUIM xoxo de Praga”
Quase 60,000 endereços de Bitcoin foram expostos em um dump de banco de dados MySQL vazado
O vazamento incluiu 4,442 mensagens de negociação entre a gangue e as vítimas
Nenhuma chave privada foi roubada, de acordo com os operadores do LockBit
O hack pode estar ligado a uma recente violação do site de ransomware Everest
A operação de ransomware LockBit, um dos grupos cibercriminosos mais temidos, foi hackeada. Atacantes desconhecidos invadiram a infraestrutura da dark web da gangue e substituíram seus painéis de afiliados por uma mensagem provocativa: “Não cometa crimes CRIME É RUIM xoxo de Praga.”
Os hackers deixaram um link para baixar um arquivo “paneldb_dump.zip”. Este arquivo continha um arquivo SQL do banco de dados MySQL do site com informações detalhadas sobre a operação de ransomware.
A violação foi relatada pela primeira vez por um ator de ameaça conhecido como Rey e depois analisada por especialistas em cibersegurança da BleepingComputer. O incidente ocorreu em algum momento por volta de 29 de abril de 2025, com base em carimbos de data/hora no banco de dados.
Então, LockBit acabou de ser pwned … xD pic.twitter.com/Jr94BVJ2DM
— Rey (@ReyXBF) 7 de maio de 2025
O Que Foi Exposto
O banco de dados vazado continha vinte tabelas com informações valiosas sobre as operações do LockBit. O mais preocupante foi a exposição de 59,975 endereços únicos de Bitcoin, que poderiam ajudar a polícia a rastrear pagamentos de resgate.
O banco de dados também revelou detalhes sobre as versões de ransomware criadas pelos afiliados do LockBit. Algumas entradas incluíam os nomes das empresas-alvo, fornecendo uma visão de quem havia sido atacado.
Talvez o mais danoso tenha sido o vazamento de 4,442 mensagens de negociação entre os operadores do LockBit e suas vítimas. Essas mensagens abrangiam de 19 de dezembro a 29 de abril, dando uma visão sem precedentes de como o grupo lida com a extorsão.
O vazamento até expôs 75 administradores e afiliados que tinham acesso ao painel. O pesquisador de segurança Michael Gillespie observou que suas senhas estavam armazenadas em texto simples, com exemplos incluindo “Weekendlover69” e “LockbitProud231.”
Um operador do LockBit conhecido como “LockBitSupp” confirmou a violação em uma conversa com Rey, mas afirmou que nenhuma chave privada foi vazada e nenhum dado foi perdido.
O servidor estava rodando PHP 8.1.2, que possui uma vulnerabilidade crítica conhecida (CVE-2024-4577) que permite a execução remota de código. Isso pode ter sido o ponto de entrada para os atacantes.
A mensagem de desfiguração usada no ataque corresponde a uma usada em uma recente violação do site de ransomware Everest, sugerindo uma possível conexão entre os incidentes.
Este não é o primeiro grande revés para o LockBit. Em 2024, agências de polícia conduziram a Operação Cronos, que derrubou grande parte da infraestrutura do grupo. Embora tenham conseguido se reconstruir após essa derrubada, essa nova violação desferiu outro golpe em sua reputação.
Outros grupos de ransomware que sofreram vazamentos semelhantes incluem Conti, Black Basta e Everest, mostrando uma tendência de hackers visando organizações criminosas.
A exposição de endereços de Bitcoin é particularmente interessante, pois destaca o papel da criptomoeda nas operações de ransomware. Normalmente, cada vítima recebe um endereço exclusivo para pagamento, permitindo que os afiliados rastreiem pagamentos enquanto tentam esconder conexões com suas carteiras principais.
Com esses endereços agora públicos, investigadores de blockchain e a polícia podem analisar padrões de pagamento e potencialmente vincular pagamentos de resgate passados a carteiras conhecidas.
Embora o LockBit afirme que nenhuma chave privada foi exposta, a violação ainda revelou inteligência valiosa sobre suas operações. As informações vazadas podem ajudar as autoridades a identificar membros do grupo e rastrear suas atividades financeiras.
O post LockBit Ransomware Gang Hacked: 60,000 Endereços de Bitcoin e Negociações de Vítimas Expostas apareceu primeiro no Blockonomi.
