La banda de ransomware LockBit sufrió una nueva filtración de datos después de que los paneles de sus afiliados de la dark web fueran reemplazados por un mensaje que enlazaba a un volcado de datos de MySQL.
Todos los paneles de administración de la banda de ransomware ahora indican: "No delinquir. EL CRIMEN ES MALO. Besos y abrazos desde Praga", junto con un enlace para descargar "paneldb_dump.zip".
Como lo detectó inicialmente el actor de amenazas, Rey, este archivo contiene un archivo SQL extraído de la base de datos MySQL del panel de afiliados del sitio. Según el análisis de BleepingComputer, esta base de datos contiene veinte tablas, algunas más interesantes que otras, incluyendo:
- Una tabla "btc_addresses" que contiene 59.975 direcciones únicas de bitcoin.
- Una tabla "builds" contiene las compilaciones individuales creadas por los afiliados para los ataques. Las filas de la tabla contienen las claves públicas, pero lamentablemente no las claves privadas. También se listan los nombres de las empresas objetivo para algunas de las compilaciones.
- Una tabla "builds_configurations" contiene las diferentes configuraciones utilizadas para cada compilación, como qué servidores ESXi omitir o qué archivos cifrar.
- Una tabla "chats" es muy interesante, ya que contiene 4.442 mensajes de negociación entre la operación de ransomware y las víctimas del 19 de diciembre al 29 de abril.
- Una tabla de usuarios enumera 75 administradores y afiliados que tuvieron acceso al panel de afiliados. Michael Gillespie detectó que las contraseñas se almacenaban en texto plano. Algunos ejemplos de estas contraseñas son "Weekendlover69", "MovingBricks69420" y "Lockbitproud231".
En una conversación de Tox con Rey, el operador de LockBit, conocido como "LockBitSupp", confirmó la filtración, afirmando que no se filtraron claves privadas ni se perdieron datos.
Según la hora de generación del volcado de MySQL y el último registro de fecha en la tabla de chats de negociación, la base de datos parece haber sido filtrada el 29 de abril de 2025.
No se sabe con certeza quién llevó a cabo la filtración ni cómo, pero el mensaje coincide con el utilizado en una filtración reciente del sitio web oscuro del ransomware Everest, lo que sugiere un posible vínculo.
Además, el volcado de SQL de phpMyAdmin muestra que el servidor ejecutaba PHP 8.1.2, vulnerable a una vulnerabilidad crítica y explotada activamente, identificada como CVE-2024-4577, que puede utilizarse para la ejecución remota de código en servidores.
Fuente: BC