Il gruppo di ransomware LockBit è stato colpito da un attacco informatico che ha messo in luce le sue operazioni interne. Sono trapelati quasi 60.000 indirizzi di portafogli Bitcoin associati alle attività del gruppo, insieme a migliaia di comunicazioni delle vittime e record dettagliati della sua infrastruttura backend.
La violazione, notata per la prima volta dal ricercatore di criminalità informatica Rey mercoledì scorso, si è verificata alla fine di aprile 2025. I pannelli di affiliazione del dark web di LockBit sono stati deturpati, sostituiti da un messaggio che diceva: "Non commettere crimini. IL CRIMINE È MALE xoxo da Praga", con un collegamento a un dump del database MySQL intitolato "paneldb_dump.zip".
Quindi LockBit è appena stato colpito… xD pic.twitter.com/Jr94BVJ2DM
– Rey (@ReyXBF) 7 maggio 2025
"Un'analisi di base del database indica che il dump è stato creato intorno al 29 aprile, suggerendo che LockBit è stato compromesso prima o in quella data e successivamente deturpato il 7 maggio", ha confermato Rey.
Esposizione dei dati nel dump del pannello
Secondo Rey, citando un'analisi della pubblicazione sulla sicurezza informatica BleepingComputer, c'erano circa 20 tabelle nel database trapelato, inclusa una tabella "btc_addresses" che elencava 59.975 indirizzi univoci del portafoglio Bitcoin collegati ai pagamenti ransomware di LockBit.
Altri dati degni di nota nella fuga di notizie includono una tabella "build", che descrive in dettaglio i payload del ransomware creati dagli affiliati LockBit. La tabella include chiavi di crittografia pubbliche e, in alcuni casi, nomi di aziende prese di mira.
La tabella "builds_configurations" mostrava quali file o server gli affiliati configuravano i propri attacchi per evitare o crittografare e diverse altre tattiche operative utilizzate nelle precedenti campagne ransomware.
Come si vede in una tabella denominata "chat", ci sono stati oltre 4.400 messaggi di negoziazione tra gli affiliati e le vittime di LockBit, nel periodo dal 19 dicembre 2024 al 29 aprile 2025.
— Ransom-DB (@Ransom_DB) 8 maggio 2025
Il dump espone anche una tabella "utenti" che elenca 75 amministratori e affiliati LockBit con accesso al pannello backend del gruppo. Gli investigatori della sicurezza sono rimasti scioccati nello scoprire che le password degli utenti erano archiviate in testo normale.
Il ricercatore di sicurezza informatica Michael Gillespie ha menzionato alcune delle password esposte, tra cui “Weekendlover69”, “MovingBricks69420” e “Lockbitproud231”.
LockBitSupp, noto operatore del gruppo LockBit, ha confermato in una chat Tox con Rey che la violazione era reale. Tuttavia, l’operatore ha insistito sul fatto che nessuna chiave privata o dato critico era andato perso.
Risposta da LockBitSupp (questa è un'immagine tradotta): pic.twitter.com/l54g1A5hXz
– Rey (@ReyXBF) 7 maggio 2025
Alon Gal, Chief Technology Officer di Hudson Rock, ha affermato che i dati includono anche build di ransomware personalizzate e alcune chiavi di decrittazione. Secondo Gal, se verificate, le chiavi potrebbero aiutare alcune vittime a recuperare i propri dati senza pagare riscatti.
Sfruttare le vulnerabilità del server
Un'analisi del dump SQL ha rivelato che il server interessato eseguiva PHP 8.1.2, una versione vulnerabile a un difetto identificato come "CVE-2024-4577". La vulnerabilità consente l'esecuzione di codice in modalità remota, il che spiega come gli aggressori siano riusciti a infiltrarsi ed esfiltrarsi nei sistemi backend di LockBit.
I professionisti della sicurezza ritengono che lo stile del messaggio di deturpazione possa collegare l'incidente a una recente violazione del sito del ransomware Everest, che utilizzava la stessa frase "IL CRIMINE È BAD". La somiglianza suggerisce che dietro entrambi gli incidenti potrebbe esserci lo stesso attore o gruppo, sebbene non sia stata confermata alcuna chiara attribuzione.
Gli hacker responsabili della violazione non si sono fatti avanti, ma Kevin Beaumont, un gruppo di sicurezza con sede nel Regno Unito, ha affermato che il gruppo DragonForce potrebbe essere responsabile.
"Qualcuno ha violato LockBit. Immagino DragonForce", ha scritto su Mastodon.
Secondo la BBC, DragonForce sarebbe stato coinvolto in diversi attacchi informatici contro rivenditori del Regno Unito, tra cui Marks & Spencer, Co-op e Harrods.
Nel 2024, l'Operazione Cronos , uno sforzo multinazionale guidato dal Regno Unito che coinvolge le forze dell'ordine di dieci paesi, incluso il Federal Bureau of Investigation (FBI), ha temporaneamente interrotto le attività di LockBit, sebbene il gruppo alla fine sia riemerso .
Secondo quanto riferito, l'operazione ha bloccato 34 server, confiscato portafogli crittografici e scoperto oltre 1.000 chiavi di decrittazione.
Le forze dell'ordine ritengono che gli operatori di LockBit abbiano sede in Russia, una giurisdizione in cui sarebbe difficile consegnarli alla giustizia. Le bande di ransomware concentrano le loro operazioni all'interno dei confini russi perché gli arresti diretti sono quasi impossibili.
Le tue notizie sulle criptovalute meritano attenzione: KEY Difference Wire ti mette su oltre 250 siti importanti