Ransomware og LockBit Leak
Nesten 60 000 Bitcoin-adresser knyttet til LockBits ransomware-infrastruktur ble lekket etter at hackere brøt seg inn i gruppens affiliatepanel på det mørke nettet. Lekkasje inkluderte en dump av en MySQL-database som ble delt offentlig på nettet. Denne databasen inneholdt krypto-relatert informasjon som kan hjelpe blokkjedanalytikere med å spore gruppens ulovlige finansielle strømmer.
Ransomware er en type malware brukt av ondsinnede aktører. Den låser målets filer eller datamsystemer, noe som gjør dem utilgjengelige. Angriperne krever vanligvis en løsepenge, ofte i digitale eiendeler som Bitcoin, i bytte mot en dekrypteringsnøkkel for å låse opp filene. LockBit er en av de mest beryktede ransomware-gruppene. I februar 2024 lanserte ti land en felles operasjon for å forstyrre gruppens aktiviteter, og hevdet at organisasjonen hadde forårsaket milliarder i skader på kritisk infrastruktur.
Ingen Bitcoin-private nøkler lekket
Til tross for at nesten 60 000 Bitcoin-lommebøker ble lekket, var det ingen private nøkler inkludert. En bruker på X (tidligere Twitter) delte en samtale med en LockBit-aktør som bekreftet bruddet. LockBit-representanten sa imidlertid at ingen private nøkler eller data hadde gått tapt.
Analyser fra Bleeping Computer indikerte at databasen inneholdt 20 tabeller, inkludert en «builds»-tabell, som dokumenterte individuelle ransomware-bygg laget av organisasjonens affilierte. Dataene identifiserte også noen av målbedriftene for disse byggene. I tillegg inneholdt den lekkede databasen en «chats»-tabell, som inneholdt over 4 400 forhandlingsmeldinger mellom ofrene og ransomware-organisasjonen.
Forbindelse mellom LockBit og Everest
LockBit-hacket er knyttet til Everest ransomware-bruddet. Det er uklart hvem som sto bak bruddet og hvordan de klarte å infiltrere LockBits operasjoner, men analytikere fra Bleeping Computer påpekte at meldingen brukt i bruddet av Everest ransomware-nettstedet samsvarer med den som ble brukt i LockBit-hekkingen. Analytikerne antydet at det kan være en sammenheng mellom de to hendelsene.
Bruddet fremhever den sentrale rollen kryptovaluta spiller i ransomware-økonomien. Hvert enkelt offer tildeles vanligvis en adresse for å betale sin løsepenge, noe som gjør det mulig for aktørene å overvåke betalinger mens de prøver å skjule forbindelsene til sine hovedlommebøker.
Avdekkingen av disse adressene gir rettshåndhevelse og blokkjedeforskere muligheten til å spore mønstre og potensielt knytte tidligere løsepengebetalinger til kjente lommebøker.
