Lockbit hackerato: infrastruttura compromessa, ma il gruppo non si arrende – Securityinfo.it

Il gruppo ransomware LockBit ha subito una compromissione significativa della propria infrastruttura, con la pubblicazione di dati sensibili che rivelano dettagli sulle operazioni interne e le negoziazioni con le vittime.

Il 7 maggio 2025, i pannelli di controllo degli affiliati del gruppo ransomware LockBit sono stati defacciati. Chi cercava di raggiungerli trovava una pagina con il messaggio “Don’t do crime CRIME IS BAD xoxo from Prague” e un link per scaricare un dump del database MySQL esfiltrato. Questo dump, denominato “paneldb_dump.zip”, contiene venti tabelle con informazioni dettagliate sulle operazioni del gruppo, inclusi indirizzi Bitcoin, configurazioni dei payload e registri delle chat con le vittime .(BleepingComputer)

Cosa c’è nel database

Il database esposto rivela 59.975 indirizzi Bitcoin unici, presumibilmente utilizzati per ricevere pagamenti di riscatto. La tabella ‘builds’ elenca i payload generati dagli affiliati, con dettagli come chiavi pubbliche e, in alcuni casi, i nomi delle aziende colpite. La tabella ‘builds_configurations’ fornisce informazioni sulle configurazioni specifiche di ciascun payload, come l’esclusione di server ESXi o determinati tipi di file da criptare. Particolarmente rilevante è la tabella ‘chats’, che contiene 4.442 messaggi di negoziazione tra LockBit e le vittime, datati dal 19 dicembre al 29 aprile .

Implicazioni per la sicurezza informatica

La compromissione di LockBit rappresenta un colpo significativo per il gruppo. L’esposizione delle sue operazioni interne rende potenzialmente più semplice l’identificazione degli affiliati. Molti esperti di sicurezza considerano questa violazione come un’opportunità per le forze dell’ordine e le organizzazioni di sicurezza informatica di analizzare le tattiche, tecniche e procedure (TTP) del gruppo, migliorando le strategie di difesa contro attacchi ransomware simili.

Dal canto suo, il gruppo attaccato ha ammesso la compromissione, ma ostenta sicurezza. Sulla sua pagina è apparso un messaggio in cui ammettono di esser caduti, ma anche di potersi rialzare facilmente, cosa che sembra abbiano fatto. Del resto, non è la prima volta che la infrastruttura di Lockbit viene attaccata e messa fuorigioco. L’ultima volta era stata addirittura oggetto di una operazione dell’FBI che sembrava aver smantellato tutto, solo per vederli ricomparire dopo pochi giorni di nuovo in piena attività.