Ciberseguridad 360 | Información valiosa filtrada en el ataque del ransomware LockBit

Se filtr� informaci�n que puede ser muy valiosa para las fuerzas del orden y la comunidad de ciberseguridad despu�s de que alguien pirateara un panel de administraci�n utilizado por la operaci�n de ransomware LockBit.

El ataque inform�tico se revel� el 7 de mayo, cuando un dominio asociado a un panel de administraci�n de LockBit fue alterado para mostrar un mensaje que dec�a "No delinquir, el crimen es malo, besos y abrazos desde Praga". La p�gina alterada tambi�n inclu�a un enlace a un archivo con informaci�n extra�da del servidor comprometido.

Los datos filtrados incluyen mensajes privados entre afiliados de LockBit y v�ctimas, direcciones de billeteras Bitcoin, cuentas de afiliados, detalles sobre ataques e informaci�n sobre malware e infraestructura.

Varios expertos en ciberseguridad han analizado los datos filtrados. Christiaan Beek, director s�nior de an�lisis de amenazas de Rapid7, se�al� que las direcciones de Bitcoin podr�an ser �tiles para las fuerzas del orden.

Adem�s, Luke Donovan, jefe de inteligencia de amenazas en Searchlight Cyber, explic� c�mo los datos filtrados podr�an ser valiosos para la comunidad de ciberseguridad.

El experto afirm� que los datos de usuario incluidos en la filtraci�n probablemente pertenecen a afiliados o administradores de la operaci�n de ransomware. Searchlight Cyber ??ha identificado 76 registros, incluyendo nombres de usuario y contrase�as, en los datos publicados.

Estos datos de usuario ser�n valiosos para los investigadores de ciberseguridad, ya que nos permiten conocer mejor a los afiliados de LockBit y su funcionamiento. Por ejemplo, de esos 76 usuarios, 22 tienen identificadores TOX asociados, un servicio de mensajer�a popular entre la comunidad de hackers, afirm� Donovan.

A�adi�: �Estas identificaciones TOX nos han permitido asociar a tres de los usuarios filtrados con alias en foros de hacking, que usan las mismas identificaciones TOX. Al analizar sus conversaciones en foros de hacking, podremos obtener m�s informaci�n sobre el grupo, por ejemplo, los tipos de acceso que compran a organizaciones de hacking�.

Searchlight Cyber ??ha identificado 208 conversaciones entre afiliados de LockBit y v�ctimas. Los mensajes, que datan de diciembre de 2024 a abril de 2025, podr�an ser valiosos para comprender mejor c�mo los afiliados de LockBit negocian con sus v�ctimas.

De hecho, Beek de Rapid7 se�al� que los chats filtrados muestran cu�n agresivos fueron los afiliados de LockBit durante las negociaciones del rescate.

En algunos casos, las v�ctimas fueron presionadas para pagar solo unos pocos miles de d�lares. En otros, el grupo exigi� mucho m�s: 50.000, 60.000 o incluso 100.000 d�lares, dijo Beek.

En cuanto a qui�n est� detr�s del hackeo de LockBit, Donovan de Searchlight Cyber ??se�al� que el mensaje de desfiguraci�n es el mismo que el mensaje que se mostr� el mes pasado en el sitio web hackeado de un grupo de ransomware diferente, Everest .

?Si bien no podemos estar seguros en esta etapa, esto sugiere que el mismo actor o grupo estuvo detr�s del ataque a ambos sitios e implica que esta filtraci�n de datos es el resultado de luchas internas en la comunidad cibercriminal?, dijo el experto.

Una declaraci�n publicada en el sitio web de filtraciones de LockBit el 8 de mayo confirm� la vulneraci�n de un panel de administraci�n, pero minimiz� el impacto y dijo que los descifradores o los datos confidenciales de las v�ctimas no se vieron afectados.

LockBitSupp , el cerebro detr�s de la operaci�n LockBit, quien seg�n las autoridades es el ciudadano ruso Dmitry Yuryevich Khoroshev, dijo que est� dispuesto a pagar por informaci�n sobre la identidad del individuo que llev� a cabo el ataque.

Las agencias policiales de todo el mundo han estado tomando medidas para interrumpir LockBit, pero a pesar de haber dado un gran golpe el a�o pasado, la operaci�n de ciberdelito sigue activa y contin�a representando una amenaza para las organizaciones.

Fuente: Securityweek.