.
Policiais de todo o mundo relançaram o site do LockBit depois de encerrá-lo em fevereiro – e agora estão contando as horas para revelar documentos que poderiam desmascarar o grupo de ransomware.
A ressurreição do site – que anteriormente era o centro das operações de extorsão da LockBit, onde as vítimas eram listadas e os dados roubados vazavam online – é uma continuação da apreensão inicial pelas agências internacionais de aplicação da lei que ocorreu em fevereiro. Denominada Operação Cronos, agências como FBI, NCA e Europol assumiram o controle do site oculto Tor da LockBit, uma grande perturbação para a gangue de ransomware.
Parte da aquisição de fevereiro foi redirecionar o site LockBit em vez de simplesmente destruí-lo. Onde antes existiam ameaças de resgate com temporizadores e informações vazadas, os federais as substituíram por artigos detalhando o funcionamento interno da própria equipe do LockBit. O site controlado pela polícia acabou ficando offline, mas agora está de volta em contagem regressiva para mais divulgações.
Dito isso, os artigos anteriores escritos por policiais acabaram sendo bastante anticlimáticos. Por exemplo, um artigo intitulado “Quem é LockbitSupp”, que deveria expor a pessoa que serve de rosto para o cartel cibernético, simplesmente nos disse que LockBitSupp mora na Rússia e dirige um carro Mercedes, e pode estar conversando com o polícia.
Falando na Conferência RSA em São Francisco na segunda-feira, Charles Carmakal, CTO da divisão de segurança do Google, Mandiant, disse que desta vez, a próxima revelação pode ser real e fornecer muito mais informações sobre o LockBitSupp. A Mandiant tem laços estreitos com investigadores federais de ambos os lados do Atlântico e de outros lugares.
O site LockBit atualmente exibe oito páginas bloqueadas, cada uma com uma contagem regressiva terminando às 1000 ET (1400 UTC) de terça-feira. Um cronômetro adicional indica que a nova vida do site não durará muito, pois expirará em 10 de maio às 10h ET.
Notavelmente, um dos oito artigos é novamente intitulado “Quem é LockbitSupp?” e embora isso possa ser apenas um copiar e colar do artigo original de fevereiro, pode ser refazer com mais algumas informações que, esperançosamente, respondam à pergunta do título de uma forma mais satisfatória.
Por sua vez, o LockBit não parece desanimado. “Não entendo por que eles estão fazendo esse pequeno show”, disse um representante da gangue de extorsão em uma entrevista com VX subterrâneo. “Eles estão claramente chateados por continuarmos trabalhando.” O porta-voz também rebateu os comunicados de imprensa dos Feds, dizendo que os agentes dos EUA estavam a mentir, o que não é surpreendente para um bando de bandidos.
Embora o LockBit tenha um novo site próprio e pareça estar à altura de seus crimes habituais, a Operação Cronos pode ter enfraquecido significativamente o grupo. Seus últimos ataques supostamente foram contra hospitais, o condado de Fulton, na Geórgia, e até mesmo o FBI. O resgate do condado de Fulton pode não ter dado em nada, já que as autoridades do condado disseram que não pagaram um centavo, enquanto a LockBit diz que sim e, portanto, não vazou as informações dos reféns.
Dado que já se passaram mais de dois meses desde a revelação original do LockBit, esperamos que os próximos anúncios tenham substancialmente mais informações sobre os cibercriminosos por trás da equipe de extorsão. ®
Reportagem adicional, da RSA Conference, por Jessica Lyons.
.
