Hackean LockBit: Se Filtran 60.000 Direcciones de Bitcoin

El grupo de ransomware LockBit, una de las bandas de ciberdelincuentes más conocidas y temidas, ha sido víctima de su propio juego. En un sorprendente giro de los acontecimientos, sus atacantes desfiguraron los paneles de la dark web utilizados por sus afiliados y los reemplazaron con un mensaje inesperado: “No delinquir. EL CRIMEN ES MALO. Besos y abrazos desde Praga”.

Junto al mensaje, se incluía un enlace que dirigía a un volcado completo de una base de datos MySQL. Como resultado, casi 60.000 direcciones de Bitcoin y una gran cantidad de datos internos de LockBit quedaron expuestos al público. Este ataque no solo pone en evidencia que ningún ciberdelincuente es intocable, sino que también abre una ventana sin precedentes al funcionamiento interno de una de las organizaciones criminales más sofisticadas del ciberespacio.

¿Qué se encontró en la filtración del panel de LockBit?

Aunque se publicaron casi 60.000 direcciones de Bitcoin, un representante de LockBit aseguró que no se comprometieron claves privadas ni otros datos sensibles. En una conversación por Tox con Rey, el operador conocido como LockBitSupp admitió que habían sido hackeados, pero insistió en que las claves privadas y la información crítica seguían seguras. Según el primer análisis de BleepingComputer, la base de datos filtrada contenía 20 tablas, entre ellas:

1. Una con 59,975 direcciones únicas de Bitcoin usadas para recibir pagos de rescate.

2. Una tabla de compilaciones, que mostraba versiones personalizadas del ransomware, algunas incluso con los nombres de las empresas atacadas.

3. Otra de chats, que guardaba 4,442 mensajes de negociación entre LockBit y sus víctimas, intercambiados entre diciembre de 2024 y abril de 2025.

4. Y una tabla de usuarios con datos de 75 afiliados y administradores, incluyendo nombres de usuario y contraseñas en texto plano tan curiosas como Weekendlover69 y MovingBricks69420.

Eso sí, algo importante: aunque las direcciones de Bitcoin quedaron expuestas, no se filtraron las claves privadas, así que se pueden analizar... pero no tocar.

Podría interesarte leer: LockBit Cumple Amenaza y Filtra Nóminas, CURP y Contratos en México

¿Qué salió a la luz en los chats filtrados de LockBit?

Dentro de la filtración también aparecieron más de 4,000 mensajes de chat con fecha y hora, entre los operadores de LockBit y sus víctimas. Estas conversaciones cubren desde diciembre de 2024 hasta abril de 2025 y muestran cómo el grupo manejaba las negociaciones a lo largo del tiempo. Todos los chats se llevaron a cabo a través del panel de afiliados de LockBit e incluían discusiones sobre precios, recuperación de archivos y cómo se realizarían los pagos.

Lo más interesante que revelaron los chats

1. Las exigencias de rescate eran muy variables. Algunas víctimas enfrentaban demandas de unos pocos miles de dólares, mientras que otras recibían cifras que superaban los $150,000, según lo que LockBit pensaba que podían pagar.

2. Carteras y pagos en Bitcoin. Muchas conversaciones incluían direcciones de Bitcoin y detalles de transacciones, lo que permite rastrear el movimiento de los fondos.

3. Negociar era parte del proceso. Las víctimas solían pedir reducir el monto exigido y, en algunos casos, LockBit aceptaba descuentos o incluso permitía pagar en cuotas.

4. Ofrecían soporte técnico. LockBit prometía entregar descifradores y hasta instrucciones, especialmente para sistemas Windows y servidores ESXi.

5. Víctimas desesperadas. Muchos mensajes mostraban el temor de las víctimas, algunas preocupadas por perder su empleo o pidiendo compasión.

6. Respuestas predefinidas. En varios casos, LockBit usaba respuestas copiadas y pegadas, lo que sugiere que usaban plantillas o incluso respuestas automáticas para ahorrar tiempo.

¿Cómo lograron hackear a LockBit?

Todavía no se sabe quién estuvo detrás del ataque, pero hay pistas que apuntan a una conexión con otro hackeo parecido al que sufrió el ransomware Everest, donde usaron el mismo mensaje para desfigurar los sitios.

En 2024, una gran operación policial llamada Operación Cronos logró derribar la infraestructura de LockBit. Cayeron 34 servidores que alojaban su sitio de filtración de datos, copias de seguridad, información robada a víctimas, direcciones de criptomonedas, unas 1,000 claves de descifrado y hasta su panel de afiliados.

Aunque LockBit consiguió rehacerse y volver a operar después de ese golpe, esta última filtración es otro duro revés para una reputación que ya estaba bastante dañada.

Todavía es pronto para saber si este nuevo golpe será el que finalmente acabe con ellos, pero sin duda los ha dejado tambaleando. No sería la primera banda de ransomware en caer tras filtraciones de este tipo. Otros grupos como Conti, Black Basta y Everest ya pasaron por situaciones parecidas.