LockBit Ransomware och Läckta Bitcoin-adresser
Nästan 60 000 Bitcoin-adresser kopplade till LockBits ransomware-infrastruktur läcktes efter att hackare fått tillgång till gruppens affiliate-panel på darknet. Läckan omfattade en MySQL-databasdump som delades offentligt online. Den innehöll kryptorelaterad information som kan hjälpa blockchain-analytiker att spåra gruppens olagliga finansiella flöden.
Vad är Ransomware?
Ransomware är en typ av skadlig programvara som används av illasinnade aktörer för att låsa målets filer eller datorsystem och göra dem otillgängliga. Angriparna kräver vanligtvis en lösensumma, ofta i digitala tillgångar som Bitcoin, i utbyte mot en dekrypteringsnyckel för att låsa upp filerna. LockBit är en av de mest ökända ransomware-grupperna inom kryptovaluta. I februari 2024 genomförde tio länder en gemensam operation för att störa gruppens verksamhet och påstod att organisationen hade orsakat miljardbelopp i skador på viktig infrastruktur.
Läckta Data och Dess Betydelse
Trots att nästan 60 000 Bitcoin-plånböcker läcktes, så inkluderades inga privata nycklar. En användare på X delade en konversation med en LockBit-operatör som bekräftade intrånget. LockBit-representanten sa emellertid att inga privata nycklar eller data hade gått förlorade. Analystiker på Bleeping Computer uppgav att databasen innehöll 20 tabeller, inklusive en ”builds”-tabell där individuella ransomware-builds skapade av organisationens medarbetare identifierades. Datadokumentet pekade även ut flera av de målföretag som angreppen riktade sig mot. Dessutom innehöll den läckta databasen en ”chats”-tabell, vilken rymde över 4 400 förhandlingsmeddelanden mellan offer och ransomware-gruppen.
Intrång och Kryptovaluta
Det är oklart vem som låg bakom intrånget och hur de lyckades komma in i LockBits verksamhet, men analytiker från Bleeping Computer uppgav att meddelandet som användes i intrånget på Everest-ransomware-sidan var identiskt med det som användes i LockBit. Analystikerna föreslog att det kan finnas en koppling mellan de två händelserna.
”Detta intrång belyser den roll som kryptovaluta spelar i ransomware-ekonomin.”
Betalningar från varje offer tilldelas vanligtvis en adress för att betala sin lösensumma, vilket gör det möjligt för medarbetarna att övervaka dessa betalningar och samtidigt försöka dölja kopplingar till sina huvudplånböcker. Exponeringen av adresserna tillåter dessutom brottsbekämpande myndigheter och blockchain-utredare att spåra mönster och potentiellt koppla tidigare lösensumabetalningar till kända plånböcker.
