Nos últimos quatro anos, o grupo de ransomware LockBit tem causado estragos implacáveis, invadindo milhares de empresas, escolas, instalações médicas e governos ao redor do mundo e lucrando milhões no processo. Um hospital infantil, a Boeing, o Royal Mail do Reino Unido e a rede de lanchonetes Subway foram todas vítimas recentes.
Mas a campanha de hacking do LockBit chegou a uma parada brusca. Uma ampla operação policial, liderada pela polícia da Agência Nacional de Crimes do Reino Unido (NCA) e envolvendo investigadores de 10 forças ao redor do mundo, infiltrou-se no grupo de ransomware e desativou seus sistemas.
Graeme Biggar, diretor-geral da NCA, diz que o grupo foi “fundamentalmente interrompido”. A operação policial, chamada Operação Cronos, assumiu o controle da infraestrutura e do sistema de administração do LockBit, apreendeu seu site de vazamento na dark web, acessou seu código-fonte, apreendeu cerca de 11.000 domínios e servidores e obteve detalhes dos membros do grupo.
“A partir de hoje, o LockBit é efetivamente redundante”, disse Biggar em uma coletiva de imprensa em Londres, aparecendo ao lado de autoridades policiais do FBI e da Europol. “Nós hackeamos os hackers”, ele diz
A ação é uma das maiores e potencialmente mais significativas já tomadas contra um grupo de cibercrime. Biggar diz que as autoridades policiais consideram o LockBit, que é global, como o grupo de ransomware “mais prolífico e prejudicial” que esteve ativo nos últimos anos. Ele foi responsável por 25% dos ataques no último ano. “O ransomware LockBit causou perdas de bilhões”, Biggar diz sobre os custos totais dos ataques e da recuperação.
Além da apreensão da infraestrutura técnica, as operações policiais em torno do LockBit também incluem prisões na Polônia, Ucrânia e Estados Unidos, bem como sanções para dois supostos membros do grupo baseados na Rússia. Os membros do grupo estão espalhados ao redor do mundo, disseram os funcionários.
Nicole Argentieri, procuradora-geral adjunta interina do Departamento de Justiça dos EUA, diz que o LockBit recebeu mais de US$ 120 milhões em pagamentos de resgate e que a ação anunciada contra o grupo é apenas o começo das repressões.
A ação policial contra o LockBit foi revelada pela primeira vez quando seu site de ransomware saiu do ar em 19 de fevereiro e foi substituído por uma página de espera dizendo que tinha sido apreendido pela polícia. O grupo LockBit, que estreou como “ABCD” antes de mudar seu nome, apareceu pela primeira vez no final de 2019. Desde então, o LockBit atacou rapidamente empresas e aumentou seu reconhecimento no ecossistema de cibercrime.
“O LockBit tem sido um espinho no lado de empresas e governos há anos, com mais de 3.000 vítimas conhecidas publicamente e [tem sido] aparentemente intocável”, diz Allan Liska, um analista especializado em ransomware da empresa de cibersegurança Recorded Future. A longa lista de vítimas do LockBit inclui várias organizações governamentais dos EUA, portos e empresas automotivas.
O LockBit opera como uma operação de ransomware como serviço (RaaS), com um punhado de membros centrais criando seu malware e administrando seu site e infraestrutura. Esse grupo central licencia seu código para “afiliados”, que lançam ataques contra empresas, roubam seus dados e tentam extorquir dinheiro delas.
“O LockBit é o último dos serviços de ransomware como afiliados ‘abertos’, o que significa que qualquer pessoa disposta a pagar pode ingressar em seu programa com pouco ou nenhum exame”, diz Liska. “Eles provavelmente tiveram centenas de afiliados ao longo de sua existência.”
Os afiliados do LockBit exigiram milhões de dólares das empresas que invadem — em um caso pedindo US$ 60 milhões de um revendedor de carros baseado no Reino Unido e recentemente fixando um resgate de US$ 800.000 para um hospital sem fins lucrativos. Se as empresas se recusarem a pagar, seus dados são publicados online. No início deste mês, o LockBit postou 43 GB de dados supostamente roubados da empresa de defesa Boeing.
A empresa de cibersegurança Secureworks, que publicou uma nova análise do grupo, diz que a liderança do LockBit “cedeu o controle aos seus afiliados” e essencialmente tinha “pouca supervisão sobre as ações dos afiliados ou a escolha das vítimas”. Essa abordagem permitiu que o grupo crescesse rapidamente, mas também adicionou um “elemento de caos” às suas ações, de acordo com a Secureworks.
“Eles são bastante indiscriminados em seus alvos”, diz Brett Callow, analista de ameaças na empresa de antivírus Emsisoft. A ação policial é provavelmente a “mais significativa interrupção de ransomware” contra um grupo de ransomware até o momento, diz Callow.
Ele diz que o grupo teve uma “resiliência semelhante a baratas” desde que foi criado e que a ação policial provavelmente enviará “ondas de choque” pelo ecossistema de ransomware, em grande parte russo. “Qualquer pessoa que colaborou com o LockBit ficará preocupada por as autoridades estarem agora em posse de informações que apontarão para eles.”
Como parte da operação policial, as autoridades dizem que obtiveram um grande tesouro de informações sobre o funcionamento do LockBit e quem seus membros podem ser. Mais de 200 carteiras de criptomoedas ligadas ao grupo foram apreendidas.
Também dentro das informações reunidas estão dados da empresa de ataques de ransomware onde as vítimas pagaram um resgate ao LockBit, de acordo com a NCA. “Mesmo quando um resgate é pago, não garante que os dados serão apagados, apesar do que os criminosos prometeram”, diz a força policial. Os órgãos de aplicação da lei envolvidos na operação também obtiveram chaves de descriptografia para empresas e
organizações que tiveram seus dados bloqueados, mas não pagaram para recuperar o acesso.
Jon DiMaggio, estrategista-chefe de segurança da Analyst1, que estudou o grupo por anos e esteve em contato constante com sua liderança, diz que o LockBit se destaca de outros grupos de cibercrime devido à sua natureza “disciplinada” e profissionalizada. O grupo de ransomware emitiu atualizações para seu malware e tecnologias de criptografia várias vezes e tentou ficar fora do radar, em comparação com outros grupos de ransomware que se gabaram de suas atividades.
DiMaggio diz que o líder do LockBit, que usa a persona online LockBitSupp, parece não ter sido um hacker tecnicamente habilidoso, mas provavelmente teve um “background” em administrar um negócio e lidar com dinheiro. “Eles literalmente [administram] como se fosse um negócio legítimo”, diz DiMaggio, acrescentando que o grupo controlou estritamente os sistemas que seus membros centrais usam para se comunicar e que o LockBitSupp parece ter sido habilidoso em sua segurança operacional.
No entanto, o LockBit também caiu em algumas ostentações e exibicionismo. O grupo organizou um concurso de redação em um fórum de cibercrime em russo, com prêmios pagos para os vencedores. O incidente mais bizarro aconteceu em setembro de 2022, quando o grupo ofereceu pagar US$ 1.000 para quem fizesse uma tatuagem de seu logotipo.
Cerca de 20 pessoas postaram fotos e vídeos de tatuagens em seus braços, pernas, pulsos e mais. O grupo também ofereceu uma recompensa de US$ 10 milhões se alguém encontrasse e publicasse com sucesso o nome real da pessoa por trás do LockBitSupp.
Como parte da operação contra o LockBit, as autoridades policiais repurpostaram o próprio site de vazamento do grupo, onde ele publicava informações sobre as vítimas. O site agora exibe, no estilo do LockBit, links para o comunicado de imprensa da polícia, sanções e ferramentas de recuperação de ransomware.
As autoridades dizem que estão planejando publicar mais informações sobre o grupo e suas atividades todos os dias. Um ícone no site do LockBit apreendido sugere que a identidade do LockBitSupp pode ser revelada esta semana.
A derrubada do LockBit ocorre à medida que as agências de aplicação da lei ao redor do mundo têm adotado uma abordagem cada vez mais agressiva em relação aos grupos de cibercrime nos últimos anos. Forças policiais e até grupos de hackers militares conseguiram desativar operações, em alguns casos afirmando criar e compartilhar chaves de descriptografia para desbloquear arquivos criptografados.
Essas ações muitas vezes foram acompanhadas de sanções e acusações para membros-chave do submundo do cibercrime. O resultado foi um esfacelamento do ecossistema de cibercrime, com grupos de ransomware em grande escala como Conti e Trickbot se separando e alguns de seus membros se reformando como grupos de ransomware menores e menos eficazes.
A operação de derrubada interrompeu, pelo menos por enquanto, um dos grupos de ransomware mais duradouros, notórios e persistentes. Mas ela ocorre em um momento em que os pagamentos para grupos de ransomware atingiram níveis recordes e a ameaça às empresas continua prolífica.
Dados divulgados pela empresa de rastreamento de criptomoedas Chainalysis no início de fevereiro revelaram que ao longo de todo o ano de 2023, os pagamentos de ransomware ultrapassaram mais de US$ 1,1 bilhão , o mais alto de todos os tempos.
Muitos criminosos também estão baseados na Rússia, que tem largamente fechado os olhos para suas ações e raramente extradita aqueles procurados no exterior.
Embora a derrubada do LockBit seja significativa, pode ser apenas temporária. Grupos de ransomware anteriores se reorganizaram com novas marcas e continuaram seus ataques e extorsões. “A interrupção do serviço de ransomware do LockBit reduziria seriamente o número de ataques de ransomware, mesmo que seja temporário”, diz Liska, da Recorded Future.
Mais do que qualquer outra coisa, a derrubada provavelmente enviará uma mensagem aos afiliados do LockBit e servirá como um sinal de que a marca do grupo está manchada. Uma captura de tela compartilhada pelo site de pesquisa em segurança cibernética VX-Underground parece mostrar uma mensagem recebida pelos afiliados do LockBit tentando fazer login em seus sistemas:
“Temos o código-fonte, detalhes das vítimas que você atacou, o valor do dinheiro extorquido, os dados roubados, conversas e muito, muito mais. Você pode agradecer ao LockbitSupp e sua infraestrutura falha por esta situação … podemos entrar em contato com você muito em breve.”
Nas últimas semanas, diz DiMaggio, o administrador do LockBitSupp tem se comportado de forma mais errática depois de ser banido de dois fóruns de hacking russos proeminentes. No entanto, DiMaggio acredita que ele possa tentar trazer o grupo de volta sob o mesmo nome. “O ego do cara é tão grande e ele está tão ligado a essa marca, eu realmente não acho que ele vai rebrandar”, diz DiMaggio.
“Espero que seja uma versão mais branda, e espero que os verdadeiros afiliados de elite que agora trabalham para ele estejam preocupados em trabalhar para ele novamente.”
Achou essa noticia interessante? Comente, Inscreva-se na nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
