Selon Cointelegraph, près de 60 000 adresses Bitcoin associées à l'infrastructure de ransomware de LockBit ont été exposées suite à une violation du panel d'affiliation du groupe sur le dark web. Cette fuite comprenait un dump de base de données MySQL partagé publiquement en ligne, contenant des informations liées à la crypto qui pourraient aider les analystes de la blockchain à retracer les activités financières illicites du groupe.
Le ransomware, un type de malware utilisé par les cybercriminels, verrouille des fichiers ou des systèmes informatiques, les rendant inaccessibles. Les attaquants exigent généralement des paiements de rançon, souvent en actifs numériques comme le Bitcoin (BTC), en échange de clés de déchiffrement pour déverrouiller les fichiers. LockBit est reconnu comme l'un des groupes de ransomware crypto les plus notoires. En février 2024, une opération conjointe impliquant dix pays visait à perturber le groupe, citant des milliards de dommages à l'infrastructure critique.
Malgré la fuite de près de 60 000 portefeuilles Bitcoin, aucune clé privée n'a été compromise. Une conversation partagée par un utilisateur de X avec un opérateur de LockBit a confirmé la violation, mais le personnel de LockBit a assuré qu'aucune clé privée ou donnée n'avait été perdue. Les analystes de Bleeping Computer ont noté que la base de données contenait vingt tables, y compris une table "builds" avec des constructions de ransomware individuelles créées par les affiliés de l'organisation. Les données comprenaient également certaines entreprises cibles pour ces constructions.
De plus, la base de données divulguée comportait une table "chats", qui contenait plus de 4 400 messages de négociation entre les victimes et l'organisation de ransomware. Les origines de la violation restent floues, mais les analystes de Bleeping Computer ont suggéré un lien possible avec la violation du site de ransomware Everest, car le message utilisé dans les deux incidents correspondait.
Cette violation souligne le rôle significatif des cryptomonnaies dans l'économie des ransomware. Les victimes se voient généralement attribuer une adresse pour payer leur rançon, permettant aux affiliés de surveiller les paiements tout en essayant d'obscurcir les liens vers leurs portefeuilles principaux.