O grupo de ransomware LockBit sofreu uma violação de dados após seus painéis de afiliados na dark web terem sido desfigurados e substituídos por uma mensagem com um link para um dump de banco de dados MySQL.
Todos os painéis de administração do grupo de ransomware agora exibem: "Não cometa crimes, CRIME É RUIM xoxo de Praga", com um link para baixar "paneldb_dump.zip."
Conforme identificado inicialmente pelo agente de ameaças, Rey, este arquivo contém um arquivo SQL extraído do banco de dados MySQL do painel de afiliados.
De acordo com a análise da BleepingComputer, este banco de dados contém vinte tabelas, algumas mais interessantes que outras, incluindo:
Uma tabela 'btc_addresses' que contém 59.975 endereços únicos de bitcoin.
Uma tabela 'builds' contém os builds individuais criados por afiliados para ataques.
As linhas da tabela contêm as chaves públicas, mas, infelizmente, não as chaves privadas.
Os nomes das empresas alvo também estão listados para alguns dos builds.
Uma tabela 'builds_configurations' contém as diferentes configurações usadas para cada build, como quais servidores ESXi ignorar ou arquivos a criptografar.
Uma tabela 'chats' é muito interessante, pois contém 4.442 mensagens de negociação entre a operação de ransomware e as vítimas, de 19 de dezembro a 29 de abril.
Tabela 'chats' do painel de afiliados:
Uma tabela 'users' lista 75 administradores e afiliados que tinham acesso ao painel de afiliados, com Michael Gillespie notando que as senhas foram armazenadas em texto puro.
Exemplos de algumas das senhas em texto puro são 'Weekendlover69', 'MovingBricks69420' e 'Lockbitproud231'.
Em uma conversa Tox com Rey, o operador do LockBit conhecido como 'LockBitSupp' confirmou a violação, declarando que nenhuma chave privada foi vazada ou dado perdido.
Com base no tempo de geração do dump MySQL e no último registro de data na tabela de chats de negociação, o banco de dados parece ter sido dumpado em algum momento em 29 de abril de 2025.
Ainda não está claro quem realizou a violação e como foi feita, mas a mensagem de desfiguração corresponde à usada em uma violação recente do site na dark web do ransomware Everest, sugerindo uma possível ligação.
Além disso, o dump SQL do phpMyAdmin mostra que o servidor estava executando PHP 8.1.2, que é vulnerável a uma vulnerabilidade crítica e ativamente explorada rastreada como CVE-2024-4577, que pode ser usada para alcançar execução de código remoto em servidores.
Em 2024, uma operação de aplicação da lei chamada Operation Cronos derrubou a infraestrutura do LockBit, incluindo 34 servidores hospedando o site de vazamento de dados e seus espelhos, dados roubados das vítimas, endereços de criptomoedas, 1.000 chaves de descriptografia e o painel de afiliados.
Embora o LockBit tenha conseguido reconstruir e retomar as operações após a derrubada, esta última violação atinge ainda mais sua reputação já comprometida.
É muito cedo para dizer se este golpe adicional na reputação será o último prego no caixão para o grupo de ransomware.
Outros grupos de ransomware que sofreram vazamentos semelhantes incluem Conti, Black Basta e Everest.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...