El grupo de ransomware LockBit, uno de los más conocidos en el mundo del cibercrimen, ha sido víctima de una nueva filtración de datos. Esta vez, su panel de afiliados en la dark web fue hackeado y reemplazado por un mensaje que decía: “Don’t do crime. CRIME IS BAD. xoxo from Prague” (“No cometas crímenes. El crimen es malo. Con cariño, desde Praga”). El mensaje incluía un enlace para descargar un archivo con la base de datos interna del grupo.
El archivo, llamado paneldb_dump.zip, contiene un volcado (dump) de su base de datos MySQL. Según el análisis realizado, la base de datos incluye:
- 59,975 direcciones de Bitcoin posiblemente usadas para recibir pagos de rescate.
- Una tabla de “builds” con los ataques personalizados que los afiliados lanzaron, incluyendo en algunos casos los nombres de las empresas atacadas.
- Configuraciones técnicas de los ataques, como servidores que debían evitarse o tipos de archivos que debían cifrarse.
- Más de 4,400 mensajes de negociación entre las víctimas y los operadores del ransomware, intercambiados entre diciembre de 2024 y abril de 2025.
- Una lista de 75 usuarios, entre administradores y afiliados del grupo, donde incluso se descubrieron contraseñas guardadas en texto plano. Algunas contraseñas filtradas incluyen “Weekendlover69”, “MovingBricks69420” y “Lockbitproud231”.
El operador de LockBit conocido como LockBitSupp confirmó la brecha a través de una conversación por Tox, pero aseguró que no se filtraron claves privadas ni se perdió información importante para sus operaciones.
Esta filtración se suma a los problemas que LockBit ha enfrentado en el último año. En 2024, la operación internacional Operation Cronos, liderada por agencias de seguridad, ya había logrado desmantelar parte de su infraestructura. A pesar de que el grupo logró volver a operar tras ese golpe, esta nueva exposición pública pone en duda su capacidad para mantener la confianza de sus afiliados.
Todavía no se sabe quién está detrás del hackeo actual, pero el mensaje dejado en el sitio coincide con uno usado recientemente para atacar al grupo Everest, lo que sugiere que podría tratarse del mismo autor o grupo.
Grupos como Conti, Black Basta y Everest también han sufrido filtraciones similares en el pasado, lo que muestra una tendencia creciente: los propios cibercriminales no están a salvo de ser atacados y expuestos.
