Sitio web de ransomware LockBit hackeado, base de datos y claves de Bitcoin filtradas

Un grupo que afirma ser de Praga aparentemente ha secuestrado el panel de dark web de LockBit y ha filtrado datos sensibles, incluidos sus sistemas internos y wallets de Bitcoin.

LockBit, una de las pandillas de ransomware más notorias, parece haber sido hackeada por alguien que afirma ser de Praga, quien filtró datos internos y dejó un mensaje burlándose del grupo.

Los analistas de la firma de seguridad blockchain SlowMist revelaron en una publicación de blog del jueves que el paquete de datos filtrado incluía más de 60,000 direcciones Bitcoin (BTC), alrededor de 75 credenciales de usuario y registros de negociación de rescate. Uno de los registros incluso apuntaba a que un rescate podría estar siendo pagado desde una cuenta de Coinbase.

Interfaz web interna de LockBit | Fuente: SlowMistLos atacantes también parecen haber obtenido acceso a una plataforma de gestión ligera basada en PHP utilizada por LockBit.

“[…] especulamos que el hacker de ‘Praga’ probablemente explotó una vulnerabilidad PHP de 0 días o 1 día para comprometer el backend web y la consola de gestión.”

SlowMist

LockBit respondió más tarde en ruso en su canal oficial. Cuando se le preguntó si el grupo había sido “pwned,” LockBit afirmó que “solo se comprometió el panel ligero con un código de autorización,” asegurando que “no se robaron descifradores, y no se vieron afectados los datos de la empresa.”

Chat de negociación de rescate | Fuente: SlowMistCuando se le preguntó si el hackeo dañaría su reputación, LockBit admitió que “afecta” su reputación, pero reiteró que el código fuente “no fue robado” y que el grupo ya está “trabajando en la recuperación.” Irónicamente, LockBit ahora está ofreciendo una recompensa por información sobre el hacker, a pesar de que el gobierno de EE. UU. había ofrecido anteriormente hasta $15 millones en recompensas por información sobre los miembros de LockBit.