Quase sessenta mil endereços de Bitcoin ligados às operações do grupo de ransomware LockBit foram expostos após uma violação do painel de afiliados na dark web. O vazamento inclui um banco de dados MySQL que pode permitir que analistas de blockchain rastreiem transações antes consideradas anônimas.
Leia também
Falhou tentativa de ressurreição do BreachForums
Organizações ignoram riscos quânticos iminentes
Apesar da gravidade do incidente, nenhuma chave privada foi divulgada. Um representante do LockBit teria confirmado a violação, mas garantiu que dados de acesso sensíveis não foram comprometidos. Ainda assim, a exposição revelou detalhes internos do funcionamento do grupo.
O banco de dados comprometido incluía vinte tabelas. Entre elas, a tabela chamada “builds” continha informações sobre cargas de ransomware criadas por afiliados e os alvos corporativos. Já a tabela “chats” continha mais de 4.400 mensagens de negociação entre operadores do LockBit e vítimas.
Especialistas suspeitam de ligação entre esse vazamento e outro incidente envolvendo o ransomware Everest, já que ambos os casos continham mensagens idênticas. Essa conexão pode indicar uma campanha coordenada contra grupos de extorsão digital.
O episódio reforça o papel central do Bitcoin na estrutura financeira do ransomware. Em geral, cada vítima recebe um endereço exclusivo para pagamento, dificultando o rastreamento. Agora, esses endereços expostos oferecem uma oportunidade para investigadores seguirem os fluxos financeiros e associarem pagamentos a responsáveis ainda não identificados.
