Fuite d’Adresses Bitcoin du Groupe LockBit
Près de 60 000 adresses Bitcoin associées à l’infrastructure de ransomware du groupe LockBit ont été révélées à la suite d’une infiltration de leur panneau d’affiliation sur le dark web. Cette fuite a impliqué la diffusion d’un dump de base de données MySQL, partagé publiquement en ligne. Les informations divulguées concernant les crypto-monnaies pourraient aider les analystes de la blockchain à retracer les flux financiers illicites du groupe.
Le Ransomware et ses Impacts
Le ransomware, un type de logiciel malveillant, est utilisé par des acteurs malveillants pour verrouiller les fichiers ou les systèmes informatiques de leurs cibles, les rendant inaccessibles. Les attaquants exigent généralement un paiement de rançon, souvent en actifs numériques tels que le Bitcoin, en échange d’une clé de décryptage pour libérer les fichiers. LockBit est l’un des groupes de ransomware les plus notoires dans le domaine des crypto-monnaies.
En février 2024, dix pays ont lancé une opération conjointe pour perturber les activités de LockBit, affirmant que ce groupe avait causé des milliards de dollars de dommages à des infrastructures critiques. Il convient de noter qu’aucune clé Bitcoin privée n’a été divulguée. Bien que l’on estime que près de 60 000 portefeuilles Bitcoin aient été exposés, aucune clé privée n’était incluse dans cette fuite.
Un utilisateur de X (anciennement Twitter) a partagé une conversation avec un opérateur de LockBit, confirmant cette violation. Cependant, le représentant de LockBit a affirmé qu’aucune clé privée ni données sensibles n’avaient été compromises.
Analyse de la Base de Données
Malgré cela, les analystes de Bleeping Computer ont révélé que la base de données contenait vingt tables, dont une table intitulée « builds », répertoriant des constructions de ransomware spécifiques créées par les affiliés de l’organisation. Les données ont également identifié certaines des entreprises visées par ces constructions. Par ailleurs, la base de données divulguée comprenait une table « chats », contenant plus de 4 400 messages de négociation échangés entre les victimes et le groupe de ransomware.
Liens avec d’Autres Violations
Le piratage lié à LockBit évoque également la récente violation ayant touché le ransomware Everest. Il n’est pas encore élucidé qui se cache derrière cette atteinte à la sécurité et comment l’accès aux opérations de LockBit a été effectué. Cependant, les analystes de Bleeping Computer ont remarqué que le message utilisé lors de la violation du site de ransomware Everest correspondait à celui utilisé dans LockBit, suggérant un possible lien entre les deux incidents.
Cette violation met en lumière le rôle essentiel de la crypto-monnaie dans l’économie des ransomwares. Chaque victime se voit généralement attribuer une adresse pour le paiement de sa rançon, ce qui permet aux affiliés de suivre les transactions tout en tentant d’obscurcir les relations avec leurs portefeuilles principaux. L’exposition de ces adresses offre aux forces de l’ordre et aux enquêteurs de la blockchain l’opportunité d’analyser des modèles et potentiellement de relier des paiements de rançon précédents à des portefeuilles déjà identifiés.
