El que hasta el año pasado fuera la principal amenaza de ransomware, sufre un nuevo golpe, esto tras publicarse su base de datos interna y con la aparición de sarcásticos mensajes en su sitio oficial.
La banda de ransomware LockBit fue víctima de una violación de datos significativa, luego de que los paneles de sus afiliados en la dark web fueran intervenidos y reemplazados por un mensaje sarcástico que decía: “No delinquir. EL CRIMEN ES MALO. Besos y abrazos desde Praga”. El mensaje incluía además un enlace para descargar un archivo titulado “paneldb_dump.zip”.
El contenido de ese archivo, detectado inicialmente por el actor de amenazas Rey, incluye una base de datos MySQL completa del panel de afiliados de LockBit, la que contendría unas 20 tablas con información sensible sobre el funcionamiento interno del grupo.
De acuerdo a medios especializados, una de las tablas almacena 4.442 mensajes con chats de negociación entre LockBit y sus víctimas, con registros que datan del 19 de diciembre de 2024 al 29 de abril de 2025. Otra tabla mostraría 75 cuentas de administradores y afiliados, con contraseñas en texto plano -algunas tan poco seguras como “Weekendlover69”, “MovingBricks69420” y “Lockbitproud231”-, lo que representa una gran vulnerabilidad de seguridad.
También se halló una tabla de direcciones de bitcoin con casi 60 mil entradas únicas, así como registros de compilaciones de malware, algunas vinculadas directamente a empresas que han sido blanco de ataques. Otras tablas detallan configuraciones técnicas específicas para las campañas de ataque, como servidores a evitar o tipos de archivos a cifrar.
El medio Bleeping Computer obtuvo una confirmación del administrador de LockBit sobre el incidente, pero desde la banda aseguraron al medio especializado que no se filtraron claves privadas ni se perdieron datos críticos.
Esta filtración se suma a una serie de golpes recibidos por el grupo cibercriminal en 2024, especialmente tras la Operación Cronos, en la que agencias de seguridad internacional desmantelaron 34 servidores pertenecientes a banda, incluyendo su sitio de filtración de datos, direcciones de criptomonedas, claves de descifrado y el propio panel de afiliados. Aunque el grupo logró reconstruir su infraestructura, esta nueva violación de seguridad en su infraestructura parece marcar el ocaso de LockBit, como ha ocurrido con otros grupos como Conti, Black Basta y Everest en el último tiempo.