O notório grupo de ransomware LockBit sofreu um revés significativo, com os seus painéis de afiliados na dark web a serem alvo de um ataque de 'deface'. A página principal foi alterada para exibir uma mensagem provocadora, "Não cometas crimes O CRIME É MAU beijinhos de Praga", juntamente com uma ligação para descarregar um ficheiro chamado "paneldb_dump.zip", que contém um despejo da base de dados MySQL do grupo.
Este incidente foi inicialmente detetado pelo ator de ameaças conhecido como 'Rey'. A análise do ficheiro SQL, conduzida pelo BleepingComputer, revelou a dimensão da informação comprometida.
O tesouro digital exposto: o que continha a base de dados?
A base de dados divulgada é composta por vinte tabelas, sendo algumas de particular interesse para investigadores e autoridades:
- Uma tabela designada
btc_addressesque armazena 59.975 endereços Bitcoin únicos. - A tabela
builds, contendo os detalhes das compilações de ransomware criadas individualmente pelos afiliados para os seus ataques. Esta tabela inclui chaves públicas (mas, infelizmente para os investigadores, não as chaves privadas) e, em alguns casos, os nomes das empresas visadas. - Informações sobre as configurações específicas utilizadas para cada 'build', como quais servidores ESXi a ignorar ou que ficheiros encriptar, encontram-se na tabela
builds_configurations. - Uma das secções mais reveladoras é a tabela
chats, que contém um arquivo de 4.442 mensagens de negociação trocadas entre os operadores do ransomware e as suas vítimas, datadas entre 19 de dezembro e 29 de abril. - A tabela
userslista 75 administradores e afiliados que possuíam acesso ao painel. De forma alarmante, e como destacado por Michael Gillespie, as palavras-passe estavam armazenadas em texto simples. Exemplos caricatos como 'Weekendlover69', 'MovingBricks69420' e 'Lockbitproud231' demonstram a fraca segurança interna do grupo.
A reação do LockBit e a data da intrusão
Numa conversa através da plataforma Tox com 'Rey', o operador do LockBit conhecido como 'LockBitSupp' confirmou a violação de segurança. No entanto, minimizou o impacto, alegando que não foram exfiltradas chaves privadas nem se perdeu qualquer dado crítico.
Tendo em conta a data de geração do 'dump' da base de dados MySQL e o último registo na tabela de conversas de negociação, estima-se que a extração dos dados tenha ocorrido algures a 29 de abril de 2025.
Quem estará por detrás do ataque e como foi possível?
A identidade dos responsáveis pela intrusão permanece um mistério. Contudo, a mensagem de 'deface' deixada nos painéis do LockBit é idêntica à utilizada num ataque recente ao site na dark web do grupo de ransomware Everest, o que levanta a hipótese de uma ligação entre os dois incidentes.
Adicionalmente, a análise do 'dump' SQL, efetuado através do phpMyAdmin, indica que o servidor comprometido corria a versão PHP 8.1.2. Esta versão é conhecida por ser vulnerável a uma falha crítica, identificada como CVE-2024-4577, que permite a execução remota de código e tem sido ativamente explorada.
Um historial de problemas e um futuro incerto
Este não é o primeiro golpe significativo contra o LockBit. Em 2024, uma operação policial internacional, denominada "Operação Cronos", conseguiu desmantelar uma parte considerável da infraestrutura do grupo. Na altura, foram apreendidos 34 servidores que alojavam o site de fuga de dados e os seus 'mirrors', dados roubados de vítimas, endereços de criptomoedas, cerca de 1.000 chaves de desencriptação e o próprio painel de afiliados.
Apesar de o LockBit ter demonstrado capacidade de se reorganizar e retomar as suas operações após a "Operação Cronos", esta nova violação de segurança representa mais um duro golpe na sua já abalada reputação. É ainda prematuro afirmar se este será o "último prego no caixão" do grupo de ransomware. Outros grupos proeminentes, como o Conti, Black Basta e o já mencionado Everest, também experienciaram fugas de informação semelhantes no passado.
Nenhum comentário
Seja o primeiro!