Dominios de la Dark Web de LockBit fueron hackeados y se filtraron datos internos y billeteras.

Los dominios de la dark web de LockBit fueron hackeados, exponiendo datos internos, herramientas de afiliados y más de 60.000 billeteras Bitcoin en un gran golpe para el grupo de ransomware.

El grupo de ransomware LockBit ha sufrido un duro golpe tras el secuestro y la desfiguración de su dominio e infraestructura de la dark web por parte de un atacante desconocido. La brecha, que se reveló el 7 de mayo, interrumpió varios paneles de servicio ocultos del grupo e incluyó una provocación pública: "No cometan delitos. EL CRIMEN ES MALO. Besos y abrazos desde Praga".

Esta brecha es el último de una serie de reveses para LockBit, considerada en su día una de las operaciones de ransomware como servicio (RaaS) más prolíficas. Se produce menos de 15 meses después de que las fuerzas del orden internacionales, como el FBI y la Agencia Nacional contra el Crimen del Reino Unido, desmantelaran parte de la infraestructura del grupo y arrestaran a varios miembros a principios de 2024.

Lo que distingue a este incidente es que el atacante no solo ha eliminado páginas, sino que ha filtrado datos internos que ofrecen una visión poco común de la operación. El volcado publicado incluye comunicaciones de afiliados, detalles de herramientas internas y una lista de más de 60.000 direcciones de monederos Bitcoin presuntamente vinculadas a la actividad de LockBit.

Los analistas de seguridad creen que la brecha pudo haber sido perpetrada por un grupo rival de ciberdelincuentes o por un hacktivista con información privilegiada. El nivel de acceso necesario para desfigurar múltiples paneles de la dark web y extraer datos confidenciales apunta a algo más que un simple ataque para hacerse famoso.

En respuesta, los afiliados y simpatizantes de LockBit se han apresurado a reubicar sus operaciones, pero el daño ya es considerable. La filtración expone flujos de trabajo operativos, modelos de ingresos y puntos débiles técnicos.

En los últimos meses, LockBit ha intentado recuperar terreno anunciando actualizaciones de su malware y prometiendo una nueva infraestructura tras las medidas de control de 2024. Este último incidente no solo retrasa esos esfuerzos, sino que también expone vulnerabilidades que podrían volver a utilizarse en su contra.

En abril de 2025, el grupo de ransomware Everest sufrió una desfiguración casi idéntica. Un atacante desconocido dejó el mismo mensaje en su sitio web de la dark web. El incidente fue reportado inicialmente por Tammy H, investigadora de la dark web en Flare.io, una firma canadiense de inteligencia sobre ciberdelitos.

Sin embargo, para las fuerzas del orden y los investigadores de ciberseguridad, la última filtración de datos de LockBit podría ser una mina de oro. Podría ayudar a identificar a las víctimas, rastrear sus billeteras e incluso a desenmascarar a sus afiliados clave. Para LockBit, este es solo otro punto bajo en una racha de declive que en su día vio al grupo detrás de ataques de alto perfil contra corporaciones, hospitales y sistemas gubernamentales.