.
Nos últimos quatro anos, o grupo de ransomware LockBit tem estado em uma violência implacável, invadindo milhares de empresas, escolas, instalações médicas e governos em todo o mundo – e ganhando milhões no processo. Um hospital infantil, a Boeing, o Royal Mail do Reino Unido e a rede de sanduíches Subway foram vítimas recentes.
Mas a campanha de hackers da LockBit foi interrompida bruscamente. Uma ampla operação de aplicação da lei, liderada pela polícia da Agência Nacional do Crime (NCA) do Reino Unido e envolvendo investigadores de 10 forças de todo o mundo, infiltrou-se no grupo de ransomware e desligou os seus sistemas.
Graeme Biggar, diretor-geral da NCA, diz que o grupo foi “fundamentalmente perturbado”. A operação policial, chamada “Operação Cronos”, assumiu o controle da infraestrutura e do sistema de administração da LockBit, apreendeu seu site de vazamento da dark web, acessou seu código-fonte, apreendeu cerca de 11.000 domínios e servidores e obteve detalhes dos membros do grupo. “A partir de hoje, o LockBit é efetivamente redundante”, disse Biggar em entrevista coletiva em Londres, aparecendo com autoridades do FBI e da Europol. “Nós hackeamos os hackers”, diz ele.
A ação é uma das maiores e potencialmente mais significativas já tomadas contra um grupo de crimes cibernéticos. Biggar diz que as autoridades consideram o LockBit, que é de natureza global, o grupo de ransomware “mais prolífico e prejudicial” que esteve ativo nos últimos anos. Foi responsável por 25% dos ataques no ano passado. “O ransomware LockBit causou perdas de bilhões”, diz Biggar sobre os custos gerais de ataques e recuperação.
Além da apreensão de infra-estruturas técnicas, as operações de aplicação da lei em torno do LockBit também incluem detenções na Polónia, Ucrânia e Estados Unidos e sanções para dois alegados membros do grupo que estão baseados na Rússia. O grupo tem membros espalhados por todo o mundo, disseram as autoridades.
Nicole M. Argentieri, procuradora-geral assistente interina do Departamento de Justiça dos EUA, diz que a LockBit recebeu mais de US$ 120 milhões em pagamentos de ransomware e que a ação anunciada contra o grupo é apenas o começo das repressões.
A ação policial contra o LockBit foi revelada pela primeira vez quando seu site de ransomware ficou offline em 19 de fevereiro e foi substituído por uma página de retenção informando que havia sido apreendido pela polícia. O grupo LockBit, que estreou como “ABCD” antes de mudar de nome, apareceu pela primeira vez no final de 2019. Desde então, a LockBit atacou rapidamente empresas e aumentou o reconhecimento do seu nome no ecossistema do crime cibernético. “O LockBit tem sido uma pedra no sapato das empresas e dos governos há anos, com bem mais de 3.000 vítimas publicamente conhecidas e [has been] aparentemente intocável”, diz Allan Liska, analista especializado em ransomware da empresa de segurança cibernética Recorded Future. A longa lista de vítimas da Lockbit inclui várias organizações governamentais, portos e empresas automotivas dos EUA.
O LockBit opera como uma operação de “ransomware como serviço”, com um grupo central de membros criando seu malware e executando seu site e infraestrutura. Este grupo principal licencia seu código para “afiliados” que lançam ataques contra empresas, roubam seus dados e tentam extorquir dinheiro delas. “LockBit é a última das ofertas de ransomware como serviço de “afiliado aberto”, o que significa que qualquer pessoa disposta a desembolsar o dinheiro pode ingressar em seu programa com pouca ou nenhuma verificação”, diz Liska. “Eles provavelmente tiveram centenas de afiliados ao longo de sua gestão.”
.
