Ir al contenido

Lockbit queda al descubierto: filtración de chats internos golpea al mayor grupo de ransomware

La sustracción y publicación de la base de datos de Lockbit revela casi 60 000 direcciones de Bitcoin, más de 4 400 conversaciones con víctimas y contraseñas en texto plano, poniendo en jaque a la operación criminal más prolífica de los últimos años.

El incidente en cifras

El 7 de mayo de 2025, los paneles ocultos de Lockbit amanecieron con el mensaje “Don’t do crime — CRIME IS BAD xoxo from Prague”, acompañado de un enlace a un volcado completo de su base MySQL.

La base incluye 20 tablas, entre ellas:

  • btc_addresses: 59 975 direcciones de Bitcoin utilizadas para pagos.
  • chats: 4 442 mensajes de negociación con víctimas (dic-2024 ↔ abr-2025).
  • users: 75 administradores y afiliados con contraseñas en texto plano. 

Qué información se filtró

Los registros exponen montos exigidos (US $4 000 – 150 000) e incentivos de hasta 20 % de descuento por pagar en Monero, confirmando la preferencia del grupo por criptomonedas centradas en la privacidad.

También aparecen configuraciones de builds, listas de servicios a deshabilitar y evidencias de explotación de vulnerabilidades críticas (Citrix NetScaler, PaperCut, GoAnywhere, entre otras).

Impacto para Lockbit y el ecosistema de ransomware

Especialistas comparan el golpe con “quitar el manual de operaciones a la banda” y prevén:

  • Pérdida de confianza de afiliados, quienes reciben comisión por cada ataque.
  • Reutilización de indicadores (hashes, direcciones BTC y TTP) por equipos de defensa y agencias.
  • Posibles arrestos: la tabla users revela identidades parciales que ligan hilos con operaciones anteriores.

Oportunidades defensivas para las empresas

  1. Bloquear indicadores: importar masivamente las direcciones BTC y dominios filtrados en SIEM y firewalls.
  2. Parcheo prioritario: las CVE citadas (Log4Shell, Citrix CVE-2023-4966, PaperCut CVE-2023-27350, etc.) deben actualizarse de inmediato.
  3. Segmentar respaldos: la filtración confirma que Lockbit apunta a Veeam y NAS antes de cifrar, por lo que aislar copias y exigir MFA se vuelve imperativo.

Perspectiva final

Tras sobrevivir a la Operation Cronos de 2024, Lockbit parecía invencible; sin embargo, esta filtración pública hiere su modelo de negocio y ofrece a defensores una inusual ventana de inteligencia. Queda por verse si el grupo logrará reponerse o si, finalmente, asistimos al ocaso del “Walmart del ransomware”.

¿Tu sitio web y tus sistemas corporativos están listos para resistir amenazas como ésta? 

En www.sitesupremacy.com diseñamos portales seguros, optimizados para SEO y con prácticas de ciberseguridad de primera línea. 

Contáctanos hoy y blindemos tu presencia digital: www.sitesupremacy.com.

¡Empieza hoy!


José Mario Rivera Carranza 10 de mayo de 2025
Compartir
Archivar
Scattered Spider ataca a Marks & Spencer y Co‑op: cómo un simple “reset” de contraseñas paralizó a dos gigantes del retail
Ingeniería social + mesas de ayuda desprevenidas = pérdidas millonarias y una alerta global de ciberseguridad