Filtración de Direcciones de Bitcoin
Casi 60,000 direcciones de Bitcoin asociadas a la infraestructura de ransomware del grupo LockBit fueron filtradas después de que hackers violaran el panel de afiliados de la organización en la dark web. La filtración incluyó un volcado de una base de datos MySQL que se compartió públicamente en línea, conteniendo información relacionada con criptomonedas que podría facilitar a los analistas de blockchain el rastreo de flujos financieros ilícitos de la banda.
¿Qué es el Ransomware?
El ransomware es un tipo de malware utilizado por actores maliciosos para bloquear los archivos o sistemas informáticos de sus objetivos, haciéndolos inaccesibles. Los atacantes suelen exigir un pago de rescate, generalmente en activos digitales como Bitcoin, a cambio de una clave de descifrado para desbloquear los archivos afectados. LockBit es uno de los grupos de ransomware más notorios en este ámbito.
Operación contra LockBit
En febrero de 2024, diez países lanzaron una operación conjunta para interrumpir las actividades de LockBit, argumentando que esta organización había causado miles de millones de dólares en daños a infraestructuras clave. A pesar de la filtración, no se expusieron claves privadas de Bitcoin. Aunque casi 60,000 billeteras fueron reveladas, las claves privadas no estaban incluidas.
Confirmación de la Violación
Un usuario de X compartió una conversación con un operador de LockBit, quien confirmó la violación, pero aseguró que no se habían perdido claves privadas ni datos sensibles.
No obstante, analistas de Bleeping Computer señalaron que la base de datos contenía 20 tablas, incluida una tabla de “builds”, que abarcaba construcciones individuales de ransomware desarrolladas por los afiliados de la organización, así como la identificación de algunas de las empresas que fueron objetivo de estas construcciones.
Contenido de la Base de Datos Filtrada
Además, la base de datos filtrada incluía una tabla de “chats”, que contenía más de 4,400 mensajes de negociación entre las víctimas y la organización de ransomware. La violación ha sido vinculada al hackeo del ransomware de Everest. Aunque no está claro quién fue el responsable de la filtración y cómo accedieron a las operaciones de LockBit, analistas de Bleeping Computer han indicado que el mensaje utilizado en la violación del sitio de ransomware de Everest coincide con el empleado en LockBit, sugiriendo un posible vínculo entre los dos incidentes.
Implicaciones en el Ecosistema del Ransomware
Esta violación ha resaltado el papel crucial que desempeña la criptoeconomía en el ecosistema del ransomware. Cada víctima suele recibir una dirección específica para pagar su rescate, lo que permite a los afiliados monitorear los pagos y, al mismo tiempo, oscurecer los vínculos con sus billeteras principales. La exposición de estas direcciones permite a las fuerzas del orden y a los investigadores de blockchain rastrear patrones y potencialmente vincular pagos de rescate anteriores con billeteras conocidas.
