A temida gangue de ransomware LockBit voltou às manchetes após sofrer uma nova invasão cibernética, resultando na exposição pública de seu banco de dados MySQL. A ofensiva atingiu diretamente os painéis de afiliados hospedados na dark web, que foram desfigurados e substituídos por uma mensagem inusitada: “Não cometa crimes, CRIME É RUIM, beijos de Praga”, acompanhada de um link para download de um arquivo chamado paneldb_dump.zip.
LockBit é novamente alvo de ataque e tem negociações com vítimas expostas
Exposição de dados revela funcionamento interno da LockBit
Segundo análise do portal BleepingComputer, o conteúdo vazado contém vinte tabelas, revelando detalhes sensíveis sobre as operações da gangue. Entre os dados expostos estão:
- 59.975 carteiras de bitcoin únicas, possivelmente associadas a pagamentos de resgate.
- Compilações personalizadas criadas por afiliados com alvos nomeados e chaves públicas.
- Configurações específicas de ataque, como tipos de arquivos a criptografar e exceções para servidores ESXi.
- Mensagens de negociação com vítimas, totalizando 4.442 trocas entre dezembro de 2024 e abril de 2025.
- Lista de usuários, com 75 afiliados e administradores, cujas senhas estavam armazenadas em texto simples — incluindo exemplos como “Weekendlover69” e “Lockbitproud231”.
A última atividade registrada no banco de dados remonta a 29 de abril de 2025, indicando que o vazamento ocorreu por volta dessa data.
Notícias Relacionadas
Cibersegurança avançada
Nova tática de ransomware explora falha no instalador do SentinelOne
Uma nova técnica sofisticada está sendo utilizada por cibercriminosos para desativar sistemas de detecção e resposta de endpoint (EDR), permitindo a instalação do ransomware Babuk. A abordagem, identificada como “Traga seu próprio instalador” (Bring Your Own Installer), aproveita brechas no processo de atualização do software de segurança SentinelOne. Ransomware usa instalador legítimo do SentinelOne para […]
Ameaça digital
StealC 2.2: malware evolui com roubo avançado de dados e mais furtividade
A nova geração do StealC, um perigoso malware focado em roubo de informações, foi revelada recentemente com atualizações que tornam suas operações ainda mais discretas e eficazes. A versão 2 do StealC começou a circular entre criminosos cibernéticos em março de 2025 e, desde então, tem recebido atualizações frequentes — a mais recente sendo a […]
Possível ligação com ataque ao Everest
Embora não se saiba quem está por trás da invasão, a mensagem de desfiguração é idêntica à de um ataque anterior ao grupo Everest, levantando a hipótese de ação coordenada ou autoria comum. Além disso, a análise do dump revelou que o servidor utilizava PHP 8.1.2 — versão vulnerável ao CVE-2024-4577, uma falha crítica que permite execução remota de código.
Histórico de quedas e resiliência da LockBit
Essa não é a primeira vez que a LockBit enfrenta reveses. Em 2024, a Operação Cronos, liderada por agências policiais internacionais, desmantelou parte de sua infraestrutura, derrubando 34 servidores, expondo endereços de criptomoedas, dados roubados, mil chaves de descriptografia e o painel de controle dos afiliados. Ainda assim, o grupo conseguiu se reestruturar e continuar suas atividades criminosas.
No entanto, a repetição de falhas de segurança internas e vazamentos coloca em xeque a reputação do grupo, especialmente em um ambiente competitivo onde confiança e anonimato são essenciais para manter afiliados.
Outros grupos também foram atingidos
Grupos como Conti, Black Basta e o já citado Everest também enfrentaram vazamentos semelhantes, evidenciando uma tendência de retaliações ou vigilância ativa contra redes de ransomware.
