Nella notte tra il 7 e l’8 maggio 2025, l’infrastruttura del gruppo ransomware LockBit è stata nuovamente compromessa — l’ultimo atto dell’attacco è stato un defacement pubblico della loro piattaforma.
La banca dati trafugata, contenente informazioni riservate — inclusi log delle negoziazioni con le vittime — è stata pubblicata direttamente sul sito ufficiale del gruppo, prima di essere rapidamente rimossa.
Nel corso della nostra analisi interna, abbiamo processato 8.654 record di messaggi di negoziazione tra affiliati ransomware e vittime. La base dati conteneva oltre 59.000 indirizzi Bitcoin associati a richieste di riscatto, oltre a dettagli su utenti, ID delle campagne, cronologia delle comunicazioni, e altro materiale sensibile.
Contesto del Leak
Secondo quanto pubblicato da un membro noto nei canali LockBit, l’istanza violata era una “light panel” con registrazione automatica, aperta a nuovi affiliati. Nessun decryptor o dato aziendale è stato compromesso, ma la full panel e il blog risultano ancora funzionanti.
LockBit stesso attribuisce la violazione a un attore soprannominato “XoXo da Praga”, offrendo ricompensa per informazioni concrete. Non è chiaro se si tratti di un insider, un’opportunista, o un gruppo rivale.
Cosa abbiamo scoperto
Volume e contenuto delle negoziazioni
- Totale messaggi: 8.654
- Numero di conversazioni uniche: 4.442
- Coinvolgimento attori (client_id ↔ adv_id): quasi sempre unidirezionale, ma in 15 casi confermato pagamento.
- Tasso di successo stimato: ~7.1%
- Valore complessivo incassato: ~615.000 USD
Distribuzione dei pagamenti:
| Fascia | Numero pagamenti |
|---|---|
| < 10.000 USD | 5 |
| 10.000–100.000 USD | 6 |
| > 100.000 USD | 2 |
Modelli comportamentali
Durante l’analisi semantica dei messaggi sono emerse 4 principali categorie di retorica usate dagli attori ransomware:
- Minaccia diretta: “Se non paghi, la tua rete finirà su tutti i forum di hacking.”
- Manipolazione emotiva: “Non vogliamo rovinarti, ma devi capire che è l’unica via.”
- Professionalismo apparente: “La nostra politica è chiara. Offriamo decryptor e supporto.”
- Pazienza calcolata: In molti casi, gli attori aspettano risposte per settimane, lasciando aperture.
Psico-profilo degli attori:
- Spesso impersonali, ma ben coordinati.
- Lingua principale: russo, ma presente anche inglese tecnico.
- Uso frequente di formule predefinite e frasi ricorrenti, suggerendo un approccio semi-automatizzato.
- Alcuni mostrano tratti narcisistici e di dominio (“Io decido quanto vali”).
- In casi specifici, evidenti segni di dilettantismo: risposte impulsive, richieste disorganizzate, errori grammaticali
- Possibile presenza di affiliati nuovi o non professionisti.
Evidenze tecniche
- Le tabelle contenevano strutture standard MySQL.
- Gli script “INSERT INTO socket_messages” mostravano comunicazioni serializzate in JSON e un possibile utilizzo di un’interfaccia Flask + WebSocket.
- Alcune entry contenevano chiari ID associati a campagne tracciabili tramite blockchain analysis (indirizzi BTC).
- Diverse chat mostrano una sintassi simile: “type”: “adv”, “action”: “send”, “msg”: “…” interfaccia dialogica strutturata.
Conclusione
Il leak del paneldb_dump.sql apre una finestra senza precedenti sulla macchina comunicativa del ransomware-as-a-service. La reazione pubblica di LockBit, che ha riconosciuto l’incidente e avviato la caccia al responsabile, suggerisce una perdita di controllo centrale da parte del gruppo centrale.
Un segnale chiaro: anche le organizzazioni cybercriminali, per quanto strutturate, non sono immuni da fratture interne e vulnerabilità operative.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
