Economia

Hackean a LockBit: se filtran negociaciones, revelan 59 mil direcciones BTC y 4.442 chats de víctimas

El grupo de ransomware LockBit enfrenta una de las filtraciones más grandes de su historia tras un ataque a sus paneles en la dark web, donde se expusieron miles de direcciones de bitcoin, comunicaciones privadas y credenciales. Esta brecha no solo representa un golpe a la reputación de LockBit, sino también una advertencia sobre el nivel de inseguridad que incluso los criminales cibernéticos pueden enfrentar en su propio terreno.

May 8, 2025 - 16:11
 0
Hackean a LockBit: se filtran negociaciones, revelan 59 mil direcciones BTC y 4.442 chats de víctimas

El grupo de ransomware LockBit enfrenta una de las filtraciones más grandes de su historia tras un ataque a sus paneles en la dark web, donde se expusieron miles de direcciones de bitcoin, comunicaciones privadas y credenciales. Esta brecha no solo representa un golpe a la reputación de LockBit, sino también una advertencia sobre el nivel de inseguridad que incluso los criminales cibernéticos pueden enfrentar en su propio terreno.
***

  • Hackean paneles de LockBit y filtran más de 59 mil direcciones de bitcoin y 4.442 chats.
  • Se expone información sensible de afiliados y estrategias internas del grupo ransomware.
  • La brecha representa un golpe reputacional a LockBit, tras operaciones policiales previas.

En los últimos años, la amenaza de las bandas de ransomware se ha consolidado como uno de los mayores desafíos para la ciberseguridad global. LockBit, conocida por su sofisticación y agresiva estrategia de extorsión digital, ha hecho noticia periódicamente por sus ataques a empresas e instituciones alrededor del mundo, exigiendo rescates millonarios usualmente denominados en criptomonedas como BTC.

Este grupo opera bajo el modelo de afiliados, permitiendo que actores diversos utilicen su software para lanzar ataques, compartir ganancias y enriquecer su propio ecosistema criminal. Tras sobrevivir a derribos previos por parte de organismos policiales, LockBit parecía inquebrantable, hasta ahora.

Sin embargo, en un nuevo giro, la propia infraestructura de LockBit fue vulnerada, exponiendo información crucial y lo que podría ser el talón de Aquiles del grupo.

El hackeo: cómo fue expuesto LockBit

El 7 de mayo de 2025, el medio BleepingComputer destacó que los paneles de afiliados de LockBit en la dark web habían sido hackeados y vandalizados. Los sitios mostraban el mensaje: “No cometas crímenes EL CRIMEN ES MALO xoxo desde Praga”, acompañado de un enlace para descargar un archivo llamado “paneldb_dump.zip”.

Este archivo, analizado por expertos de BleepingComputer, corresponde a un volcado (dump) de la base de datos MySQL del panel de afiliados de LockBit, evidencia de que el acceso administrativo fue total y contundente. Se estima que la base de datos fue extraída el 29 de abril de 2025, por lo que contiene información reciente de las operaciones de la banda.

No se conocen con precisión los métodos o identidades asociados al ataque, pero el mensaje de vandalismo fue idéntico al visto recientemente en otra brecha contra Everest ransomware, lo que sugiere la posible implicancia de los mismos actores o una tendencia creciente de ataques entre criminales.

¿Qué se filtró?: Detalles técnicos y humanos

El volcado de MySQL incluye veinte tablas relevantes, muchas centradas en información operacional y financiera de LockBit. Entre las más destacadas:

  • Una tabla “btc_addresses” con 59.975 direcciones únicas de bitcoin, posible rastro de pagos ilícitos o intentos de anonimato financiero.
  • La tabla “builds” detalla cada compilación individual del ransomware utilizada en ataques, incluyendo claves públicas y, en algunos casos, nombres de empresas objetivo.
  • “builds_configurations” muestra ajustes específicos para evitar servidores ESXi o seleccionar qué archivos cifrar durante ataques personalizados.
  • La joya técnica: “chats”, una tabla que expone 4.442 mensajes de negociación entre LockBit y víctimas desde diciembre de 2024 al 29 de abril de 2025.
  • “users” desvela 75 cuentas de administradores y afiliados, con contraseñas insólitamente almacenadas en texto plano, como “Weekendlover69” o “Lockbitproud231”.

Michael Gillespie, quien revisó la tabla de usuarios, corroboró que incluso las contraseñas eran visibles sin encriptar, algo inaudito en ciberdelincuencia avanzada.

Por otro lado, el operador “LockBitSupp” confirmó la brecha en una conversación a través de Tox, aunque restó importancia al mencionar que “no se filtraron claves privadas ni hubo pérdida de información sensible mayor”.

Implicancias de la filtración para el submundo del ransomware

Si bien la magnitud del daño reputacional a LockBit es evidente, todavía es prematuro determinar si este hackeo representa el final para el grupo. Ya en 2024, la operación policial internacional Cronos logró incautar 34 servidores relacionados a LockBit, recuperar 1.000 claves de desencriptación y obtener información clave sobre sus operaciones. Sin embargo, el grupo logró restablecerse posterior a ese golpe.

Esta nueva brecha expone, de forma involuntaria, la vulnerabilidad de las propias bandas de ransomware frente a ataques internos de otros actores criminales o incluso de fuerzas de inteligencia. Analistas postulan que este tipo de filtraciones fomentan la desconfianza entre afiliados y debilitan el sentido de invulnerabilidad de estas organizaciones.

Además, poder acceder a registros de chat y transacciones financieras podría abrir la puerta a investigaciones y rastreos a fundadores o afiliados, así como identificar a víctimas y formas de negociación.

Contexto: ¿Una tendencia creciente o una vendetta?

La filtración contra LockBit se suma a casos previos de exposición de datos de bandas como Conti, Black Basta y Everest, lo que indica un auge en ataques dirigidos contra los mismos grupos de ransomware, sea por motivos económicos, rivalidad, búsqueda de poder o incluso por agentes estatales encubiertos.

Para los defensores de la ciberseguridad y la industria blockchain, estos episodios muestran la importancia de las mejores prácticas en administración de datos, encriptación y resguardo de credenciales, ironizando que incluso los criminales caen en errores básicos como el almacenamiento de contraseñas en texto plano.

El impacto a largo plazo de esta filtración todavía está por verse, pero demuestra que la dark web y el cibercrimen, lejos de ser estructuras monolíticas, son ecosistemas volátiles donde los roles de víctimas y victimarios pueden revertirse de un día para otro.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

Leer Más

Etiquetas:

Artículo Anterior

Tensiones entre India y Pakistán provocan desplome récord de la rupia

Artículo Siguiente

Stripe lanza nuevas cuentas de stablecoins y modelo de pagos con IA 

Publicaciones Relacionadas

El futuro distópico ecosocialista de Yolanda Díaz: "Cubrir necesidades básicas dentro de los límites del planeta"

El futuro distópico ecosocialista de Yolanda Díaz: "Cub...

May 1, 2025  0

Marchas por Día del Trabajo en CDMX: ¿Qué calles estarán cerradas HOY?

Marchas por Día del Trabajo en CDMX: ¿Qué calles estará...

May 1, 2025  0

Trump suaviza el tono con China y se dispone a reducir los aranceles

Trump suaviza el tono con China y se dispone a reducir ...

Abr 23, 2025  0