.
Uma infame gangue de crimes cibernéticos foi desmantelada pela Agência Nacional do Crime (NCA) e uma coalizão de agências policiais internacionais.
A Lockbit e suas afiliadas invadiram algumas das maiores organizações do mundo nos últimos meses, mas a partir de segunda-feira seu site de extorsão exibe uma mensagem dizendo que está “sob o controle da Agência Nacional do Crime do Reino Unido”.
Cinco Cidadãos russos foram acusados.
Mas o que é o Lockbit, quais são as suas táticas criminosas e quem foi vítima dele? Aqui está o que sabemos…
O que o Lockbit faz
A gangue ganha dinheiro roubando dados confidenciais e ameaçando vazá-los se as vítimas não pagarem um resgate exorbitante.
Seus afiliados são grupos criminosos com ideias semelhantes, recrutados para realizar ataques usando as ferramentas de extorsão digital da Lockbit.
Autoridades dos EUA descreveram o Lockbit como a maior ameaça de ransomware do mundo. O grupo atingiu organizações em quase todos os setores; desde serviços financeiros e alimentação até escolas, transportes e departamentos governamentais.
A gangue causou perdas de bilhões de libras, dólares e euros, tanto em pagamentos de resgate quanto em custos de recuperação, segundo o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido.
O site da Lockbit, até segunda-feira, exibia uma galeria cada vez maior de organizações de vítimas que era atualizada quase diariamente.
Ao lado de seus nomes havia relógios digitais que mostravam o número de dias restantes para o prazo dado a cada organização para efetuar o pagamento do resgate.
O ransomware Lockbit foi considerado responsável por pelo menos 1.700 ataques somente nos EUA pelo FBI.
Quais são as táticas do grupo?
O NCSC e a Agência de Defesa Cibernética da América (ACDA) lançaram alguma luz sobre as táticas do Lockbit no ano passado, já que ele se tornou “a variante de ransomware mais implantada em todo o mundo”.
Em um extensa consultoria de mitigaçãoeles descreveram como a operação Lockbit usa um modelo de “ransomware como serviço”, onde os criminosos cibernéticos vendem acesso à sua variante de ransomware para afiliados não conectados e lhes fornecem suporte na realização de ataques.
Também destacou o risco de dupla extorsão – uma tática comum usada por agentes de ransomware, onde criptografam o sistema da vítima e extraem informações, com ameaças de que as publicarão online, a menos que um resgate seja pago.
As estratégias da Lockbit são, obviamente, incrivelmente complexas, mas aqui estão alguns destaques resumidos do comunicado da ACDA:
- Possui três cepas principais: Lockbit, Lockbit Red e Lockbit Black – e a última é o ransomware característico do grupo. Ele embaralha arquivos de computador e exige pagamento em criptomoedas difíceis de rastrear em troca de desembaralhá-los
- O grupo principal da Lockbit não apenas permite que afiliados usem seu ransomware, mas também permite que esses afiliados recebam pagamentos de resgate em primeira mão antes de enviar uma parte ao grupo principal. Isso contrasta fortemente com grupos semelhantes, que tendem a se pagar antes dos afiliados
- Seu ransomware é simples, com uma interface de apontar e clicar, tornando-o acessível a uma ampla gama de criminosos cibernéticos – mesmo aqueles com um menor grau de habilidade técnica.
Essencialmente, a Lockbit mantém as coisas o mais simples possível para afiliados em potencial, porque quanto mais criminosos ela atrai, mais cortes o grupo principal obtém em casos de extorsão de segunda mão.
Mas as táticas do grupo vão ainda mais fundo, segundo a ACDA, essencialmente anunciando através de métodos como:
- Desprezar outros grupos semelhantes em fóruns online para fazer o Lockbit parecer o melhor ransomware do mercado
- Pagar pessoas para fazer tatuagens Lockbit
- Colocando uma recompensa de US$ 1 milhão (£ 794.163) em informações relacionadas à identidade no mundo real do líder de Lockbit, que atende pelo nome de “LockBitSupp”.
O que sabemos sobre as origens e motivos do Lockbit?
Em seu site, o grupo afirma estar “localizado na Holanda, completamente apolítico e interessado apenas em dinheiro”.
Mas o seu software malicioso foi descoberto pela primeira vez em fóruns de crimes cibernéticos em língua russa em 2020, levando alguns analistas de segurança a acreditar que a gangue está baseada na Rússia.
Desde então, o grupo foi detectado em todo o mundo, com organizações no Reino Unido, Estados Unidos, Índia e Brasil entre os alvos comuns, segundo a empresa de segurança cibernética Trend Micro.
Use o navegador Chrome para um player de vídeo mais acessível
A partir de dezembro: ataques cibernéticos russos – o que sabemos
Casos de destaque
Com alcance mundial, o Lockbit tem sido notícia com frequência desde 2020.
O caso mais proeminente no Reino Unido ocorreu no início do ano passado, quando o Correio Real enfrentou graves perturbações depois de um Ataque Lockbit.
A investigação do Royal Mail descobriu que a gangue infectou máquinas que imprimem etiquetas alfandegárias para encomendas enviadas ao exterior, deixando mais de meio milhão de encomendas e cartas presas no limbo.
A gangue também ameaçou publicar dados roubados na dark web, fazendo com que as impressoras de um centro de distribuição do Royal Mail da Irlanda do Norte “jorrassem” cópias da nota de resgate – uma tática assustadora característica da gangue.
O Royal Mail pediu aos clientes que parassem temporariamente de enviar quaisquer itens de exportação enquanto o NCSC ajudava a resolver o problema.
Ameaças às concessionárias de automóveis
No ano anterior, as afiliadas da Lockbit tentaram exigir do grupo de concessionárias de automóveis do Reino Unido Pendragon um resgate de US$ 60 milhões (£ 54 milhões), mas a empresa se recusou a pagar, dizendo que o hack não afetou sua capacidade de operar e que “tomou medidas imediatas para conter o incidente”.
Hospital infantil considerado um exagero
Outro incidente infame ocorreu em dezembro de 2022, quando o ransomware Lockbit foi usado para atacar o SickKids no Canadá, causando uma falha no sistema.
Estranhamente, a gangue principal alegou ter liberado um descriptografador gratuito para uso do hospital, dizendo que um membro havia violado suas “políticas”.
Ele disse que as afiliadas foram proibidas de criptografar instituições médicas onde os ataques poderiam levar à morte.
Empresa de segurança atingida
Em agosto do ano passado, hackers da Lockbit supostamente adquiriram informações de segurança ultrassecretas sobre alguns dos locais militares mais sensíveis do país, incluindo a base do submarino nuclear HMNB Clyde, na costa oeste da Escócia, e o laboratório de armas químicas de Porton Down, de acordo com o Sunday Mirror.
Milhares de páginas de dados vazaram na dark web depois que a empresa de segurança privada Zaun foi alvo.
A empresa, que fornece cercas de segurança para sites ligados ao Ministério da Defesa, confirmou em comunicado que foi vítima de um “sofisticado ataque cibernético”.
Um porta-voz da Zaun acrescentou que tomou “todas as medidas razoáveis para mitigar quaisquer ataques aos nossos sistemas” e explicou que encaminhou o assunto ao NCSC.
Último grande caso
Houve relatos de atividades do Lockbit na semana passada, quando a Motilal Oswal Financial Services da Índia disse ter detectado atividades maliciosas nos computadores de alguns funcionários.
A empresa disse que solucionou o problema em uma hora, acrescentando que suas operações não foram afetadas.
“Este incidente não afetou nenhuma de nossas operações de negócios e ambiente de TI. Os negócios continuam como sempre”, disse à Reuters a empresa avaliada em US$ 15,3 bilhões.
O que está acontecendo agora após a aquisição da Lockbit pela NCA?
A postagem completa no site da Lockbit publicada na segunda-feira diz: “Este site está agora sob o controle da Agência Nacional do Crime do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei, ‘Operação Cronos’. “
A Europol e outras organizações policiais internacionais de França, Japão, Suíça, Canadá, Austrália, Suécia, Países Baixos, Finlândia e Alemanha ajudaram nesta rara operação de aplicação da lei.
Um porta-voz da NCA confirmou que a agência havia perturbado a gangue e disse que a operação estava “em andamento e em desenvolvimento”.
Em comunicado divulgado na terça-feira, a NCA acrescentou: “A NCA assumiu o controle do ambiente de administração primário da Lockbit, que permitiu aos afiliados construir e realizar ataques, e do site de vazamento público do grupo na dark web, no qual eles anteriormente hospedavam e ameaçou publicar dados roubados das vítimas.
“Em vez disso, este site hospedará agora uma série de informações expondo a capacidade e as operações da Lockbit, que a NCA publicará diariamente durante a semana.”
O Departamento de Justiça dos EUA anunciou que dois réus acusados de usar o Lockbit para realizar ataques de ransomware foram acusados criminalmente, estão sob custódia e serão julgados nos EUA.
Um representante da Lockbit postou mensagens em um aplicativo de mensagens criptografadas dizendo que tinha servidores de backup não afetados pela ação policial.
.
