Un golpe inesperado a la organización criminal más activa del ransomware
El 7 de mayo de 2025, el grupo de ransomware LockBit sufrió una de sus filtraciones internas más graves. Un actor desconocido logró comprometer el panel administrativo que la banda usaba para coordinar ataques, gestionar afiliados y negociar pagos con las víctimas.
Este panel fue reemplazado por un mensaje irónico:
“Don’t do crime, crime is bad xoxo from Prague”
Junto con el mensaje, los atacantes publicaron un archivo comprimido que contenía una voluminosa cantidad de información sensible. Esta filtración es considerada una de las más relevantes desde la desarticulación de Conti y REvil.
¿Qué se filtró exactamente?
Los archivos extraídos del panel de LockBit ofrecen una visión inédita de su operación interna. Incluyen:
Chats privados entre afiliados y víctimas
Direcciones de Bitcoin utilizadas para recibir pagos
Credenciales completas de usuarios del panel
Detalles técnicos de múltiples ataques
Infraestructura, scripts, payloads y módulos personalizados
Ejemplo real: mensajes con víctimas
Los datos contienen decenas de conversaciones de extorsión. En ellas se observa cómo los operadores de LockBit presionaban a las organizaciones, amenazando con publicar su información si no realizaban el pago.
En uno de los logs, una víctima ignoró todos los mensajes del afiliado. El criminal escribió:
”¿Crees que nos vamos a cansar? Esta es tu última oportunidad. El lunes la información de tus clientes saldrá publicada.”
Estas amenazas reflejan la mecánica psicológica del ransomware como servicio (RaaS) y el modelo de doble extorsión.
Ejemplo real: credenciales de afiliados
El equipo de Searchlight Cyber identificó 76 registros únicos con nombres de usuario, contraseñas y claves API. Estos parecen pertenecer a operadores afiliados, con accesos al panel para subir archivos, ver estados de pago o revisar los archivos robados a las víctimas.
¿Cómo lograron vulnerar a LockBit?
Los investigadores creen que los atacantes aprovecharon una vulnerabilidad crítica en PHP 8.1.2. Todo apunta a que se explotó la falla CVE-2024-4577, que permite ejecución remota de código en sistemas con configuración regional vulnerable.
Mediante esta técnica, los atacantes lograron extraer directamente la base de datos sin necesidad de credenciales válidas.
¿Por qué es relevante esta filtración?
Porque expone el talón de Aquiles de LockBit: la centralización de su operación. Aunque el grupo funcionaba como una plataforma tipo “ransomware-as-a-service”, toda su gestión se concentraba en un panel administrativo vulnerable, alojado en una infraestructura mal protegida.
Esto pone en evidencia que, aunque los atacantes apuntan a empresas altamente protegidas, su propia seguridad interna puede ser su perdición.
Opinión de los expertos
Rapid7: trazabilidad financiera
Christiaan Beek, director de amenazas en Rapid7, indicó que las direcciones Bitcoin reveladas “podrían ser extremadamente útiles para seguir el rastro de pagos ilícitos, e incluso conectar nodos delictivos dentro de la dark web”.
Searchlight Cyber: mapas internos de la operación
Luke Donovan, de Searchlight Cyber, afirmó:
“Los datos filtrados muestran no solo las identidades digitales de algunos afiliados, sino también cómo interactuaban con la infraestructura del grupo y qué comandos ejecutaban. Esto podría ayudar a perfilar sus hábitos y métodos de ataque.”
Consecuencias inmediatas
Posible desarticulación de nodos afiliados
Trazabilidad de fondos vinculados a LockBit
Exposición de tácticas, herramientas y scripts internos
Reputación seriamente dañada entre otros grupos de RaaS
Acceso público a conversaciones de extorsión que pueden ser analizadas por defensores
Fuentes para ampliar la historia
Puedes consultar los análisis y reportes especializados en los siguientes sitios:
SecurityWeek – Valuable Information Leaked in LockBit Ransomware Hack
Qualys Blog – Defense Lessons From Leaked LockBit Negotiations
Reuters – Ransomware group LockBit appears to have been hacked
[vc_gallery interval=”5″ images=”35582,35584,35585″ img_size=”full” css=”” title=”ZDU-046: Panel Cautivo”]
CASO ZDU-046 / CTD / TAU
Panel Cautivo
Protagonista: Blacktrace
Amenaza: LockBit – Ransomware Syndicate
La caída de LockBit no comenzó con una intrusión ofensiva, sino con una burla silenciosa. Su consola administrativa apareció desfigurada con el mensaje: “Don’t do crime. Crime is bad. xoxo from Prague.” Lo que a primera vista parecía un sabotaje visual, era en realidad una brecha devastadora: toda la estructura interna del ransomware quedó expuesta.
La ZeroDay Unit reaccionó al instante. Entre los datos filtrados se encontraban chats con víctimas, direcciones de Bitcoin, comandos activos y credenciales de operadores. El corazón operativo del Syndicate había sido abierto.
Blacktrace, ex Navy SEAL y analista financiero táctico, desplegó su visor. Los datos flotaban ante él: rutas de extorsión digital, wallets activas, módulos de cifrado. Su análisis fue quirúrgico. Cuando se trazó el mapa, inició el ataque.
Los dardos salieron de su gauntlet en formación perfecta, impactando nodos clave. Las cadenas digitales colapsaron. Los canales de cobro quedaron inutilizados. El Syndicate no pudo reaccionar: su infraestructura fue desmantelada desde dentro.
Pero aún quedaba una ruta activa. Una credencial expuesta apuntaba a un operador humano. Blacktrace lo localizó, lo capturó y lo transportó en el Phantom Claw a máxima velocidad, esposado, bajo custodia digital. Durante la transmisión de cierre, la señal de Neon Mind confirmó recepción.
“LOCKBIT DESCONECTADO. VOLVEMOS A CASA.”
LockBit no solo perdió acceso. Perdió control, reputación y presencia. Panel Cautivo fue más que una operación: fue el punto de quiebre de una red que se creía intocable.
Casos relacionados:
