Laut Cointelegraph wurden fast 60.000 Bitcoin-Adressen, die mit der Ransomware-Infrastruktur von LockBit verbunden sind, nach einem Verstoß gegen das dunkle Web-Partnerpanel der Gruppe offengelegt. Dieses Leck umfasste einen MySQL-Datenbankdump, der öffentlich online geteilt wurde und kryptowährungsbezogene Informationen enthielt, die Blockchain-Analysten helfen könnten, die illegalen finanziellen Aktivitäten der Gruppe nachzuvollziehen.
Ransomware, eine Art von Malware, die von Cyberkriminellen verwendet wird, sperrt Dateien oder Computersysteme und macht sie unzugänglich. Angreifer fordern in der Regel Lösegeldzahlungen, oft in digitalen Vermögenswerten wie Bitcoin (BTC), im Austausch für Entschlüsselungsschlüssel, um die Dateien zu entsperren. LockBit gilt als eine der notorischsten Krypto-Ransomware-Gruppen. Im Februar 2024 zielte eine gemeinsame Operation, an der zehn Länder beteiligt waren, darauf ab, die Gruppe zu stören, und nannte Milliardenverluste für kritische Infrastrukturen.
Trotz des Lecks von fast 60.000 Bitcoin-Wallets wurden keine privaten Schlüssel kompromittiert. Ein Gespräch, das ein X-Nutzer mit einem LockBit-Betreiber teilte, bestätigte den Verstoß, aber das LockBit-Personal versicherte, dass keine privaten Schlüssel oder Daten verloren gegangen seien. Analysten von Bleeping Computer stellten fest, dass die Datenbank zwanzig Tabellen enthielt, darunter eine "builds"-Tabelle mit einzelnen Ransomware-Builds, die von den Partnern der Organisation erstellt wurden. Die Daten umfassten auch einige Zielunternehmen für diese Builds.
Darüber hinaus enthielt die geleakte Datenbank eine "chats"-Tabelle, die über 4.400 Verhandlungsnachrichten zwischen Opfern und der Ransomware-Organisation enthielt. Die Ursprünge des Verstoßes sind unklar, aber Analysten von Bleeping Computer schlugen eine mögliche Verbindung zum Verstoß gegen die Everest-Ransomware-Website vor, da die in beiden Vorfällen verwendete Nachricht übereinstimmte.
Dieser Verstoß unterstreicht die bedeutende Rolle von Kryptowährung in der Ransomware-Wirtschaft. Opfer wird in der Regel eine Adresse zugewiesen, um ihr Lösegeld zu zahlen, was es den Partnern ermöglicht, Zahlungen zu überwachen, während sie versuchen, die Verbindungen zu ihren Haupt-Wallets zu verschleiern.
