Esposizione di Indirizzi Bitcoin del Gruppo LockBit
Circa 60.000 indirizzi Bitcoin associati all’infrastruttura ransomware del gruppo LockBit sono stati esposti a seguito di un attacco informatico che ha compromesso il pannello di affiliazione del gruppo sul dark web. La fuga di dati includeva un dump di un database MySQL, reso pubblico online. Questo database conteneva informazioni sulle criptovalute, potenzialmente utili agli analisti della blockchain per seguire i flussi finanziari illeciti del gruppo.
Cos’è il Ransomware
Il ransomware è un tipo di malware utilizzato da attori malevoli per bloccare file o sistemi informatici delle vittime, rendendoli inaccessibili. Gli aggressori di solito richiedono un pagamento di riscatto, spesso in criptovalute come Bitcoin, in cambio di una chiave di decrittazione per sbloccare i file. LockBit è uno dei gruppi di ransomware più noti nel panorama crypto. Nel febbraio 2024, dieci paesi hanno lanciato un’operazione congiunta per fermare il gruppo, affermando che l’organizzazione ha causato miliardi di euro di danni a infrastrutture critiche.
Nessuna Chiave Privata Trapelata
Nonostante la fuga di quasi 60.000 wallet Bitcoin, le chiavi private non sono state incluse. Un utente su X ha pubblicato una conversazione con un operatore di LockBit, confermando la violazione. Tuttavia, l’interlocutore ha dichiarato che non ci sono state perdite di chiavi private o di dati sensibili.
Gli analisti di Bleeping Computer hanno riportato che il database conteneva 20 tabelle, compresa una tabella denominata “builds”, che includeva singoli esempi di ransomware creati dai partner dell’organizzazione. I dati hanno anche rivelato alcune delle aziende target di tali build. Inoltre, il database trapelato includeva una tabella “chats” con oltre 4.400 messaggi di negoziazione tra le vittime e il gruppo ransomware.
Potenziale Collegamento con la Violazione del Ransomware Everest
Non è chiaro chi abbia causato la violazione o come siano riusciti a infiltrarsi nelle operazioni di LockBit, ma gli analisti di Bleeping Computer hanno notato che il messaggio utilizzato per violare il sito del ransomware Everest corrispondeva a quello impiegato in LockBit. Questo ha portato a ipotizzare un possibile collegamento tra i due incidenti.
La violazione ha evidenziato il ruolo cruciale delle criptovalute nell’economia del ransomware. A ogni vittima viene solitamente assegnato un indirizzo per il pagamento del riscatto, consentendo ai partner di monitorare i pagamenti e di cercare di Offuscare i legami con i loro wallet principali. L’esposizione degli indirizzi consente anche alle forze dell’ordine e agli investigatori della blockchain di tracciare schemi e, potenzialmente, collegare i pagamenti di riscatto precedenti a wallet conosciuti.
