Leak von Bitcoin-Adressen der LockBit-Ransomware
Fast 60.000 Bitcoin-Adressen, die mit der Ransomware-Infrastruktur von LockBit in Verbindung stehen, wurden geleakt, nachdem Hacker Zugang zum Affiliate-Panel der Gruppe im Dark Web erhielten. Der Leak umfasste einen MySQL-Datenbankdump, der öffentlich im Internet geteilt wurde. Darin enthalten waren kryptowährungsbezogene Informationen, die Blockchain-Analysten helfen könnten, die illegalen Finanzströme der Gruppe nachzuvollziehen.
Ransomware ist eine Form von Malware, die von böswilligen Akteuren genutzt wird, um die Dateien oder Computersysteme des Ziels zu sperren und unzugänglich zu machen. Die Angreifer fordern normalerweise eine Lösegeldzahlung, häufig in digitalen Vermögenswerten wie Bitcoin, im Austausch für einen Entschlüsselungsschlüssel, um die Dateien wieder freizugeben. LockBit zählt zu den bekanntesten Ransomware-Gruppen im Krypto-Bereich. Im Februar 2024 nahmen zehn Länder an einer gemeinsamen Operation teil, um die Gruppe zu stören, und berichteten, dass die Organisation Billionen an Schäden an kritischer Infrastruktur verursacht habe.
Keine Bitcoin-Privatschlüssel geleakt
Obwohl nahezu 60.000 Bitcoin-Wallets geleakt wurden, waren keine Privatschlüssel enthalten. Ein Nutzer auf X (früher Twitter) teilte ein Gespräch mit einem LockBit-Betreiber und bestätigte den Sicherheitsvorfall. Der LockBit-Mitarbeiter erklärte jedoch, dass keine Privatschlüssel oder sensiblen Daten verloren gegangen seien. Trotz dieser Aussage berichteten Analysten von Bleeping Computer, dass die Datenbank 20 Tabellen umfasste, darunter eine Tabelle mit „Builds„. Diese Tabelle enthielt verschiedene Ransomware-Versionen, die von den Partnern der Organisation erstellt wurden. Außerdem identifizierten die Daten einige der Zielunternehmen für die jeweiligen Builds. Die geleakte Datenbank verfügte zudem über eine Tabelle mit „Chats„, in der über 4.400 Verhandlungsmessages zwischen Opfern und der Ransomware-Organisation enthalten waren.
LockBit-Hack möglicherweise im Zusammenhang mit Everest-Ransomware-Verstoß
Es ist unklar, wer hinter dem Vorfall steckt und wie sie in die Operationen von LockBit eindringen konnten. Analysten von Bleeping Computer berichteten jedoch, dass die in der Nachricht bezüglich des Zugriffs auf die Everest-Ransomware-Website verwendete Formulierung mit derjenigen übereinstimmte, die auch von LockBit genutzt wurde. Dies deutet möglicherweise auf eine Verbindung zwischen den beiden Vorfällen hin.
Der Vorfall verdeutlicht die Rolle, die Kryptowährungen in der Ransomware-Wirtschaft spielen. Jedem Opfer wird in der Regel eine spezifische Adresse zugewiesen, um das Lösegeld zu zahlen, was es den Angreifern ermöglicht, die Zahlungen zu überwachen und gleichzeitig die Verbindungen zu ihren Haupt-Wallets zu verschleiern. Die Offenlegung dieser Adressen erleichtert es Strafverfolgungsbehörden und Blockchain-Ermittlern, Muster zu erkennen und möglicherweise vergangene Lösegeldzahlungen mit bekannten Wallets zu verknüpfen.
