Uma coalizão internacional de agências de aplicação da lei em 11 países anunciou, nesta terça-feira (20), que tomou controle de computadores e softwares do coração do grupo de ransomware mais prolífico do mundo, o LockBit, dando esperança às vítimas para não precisarem fazer pagamentos de resgate para recuperar os dados roubados de seus sistemas de computadores.
A infraestrutura apreendida do grupo de ransomware incluía centenas de chaves eletrônicas necessárias para recuperar os dados roubados, bem como o site na dark web onde o LockBit vazava dados de vítimas que se recusavam a pagar os resgates em criptomoedas, disseram autoridades ouvidas pelo The Washington Post.
Operação que derrubou o LockBit
- O esforço de aplicação da lei, chamado de Operação Cronos, foi liderado pela Agência Nacional de Crimes do Reino Unido e incluiu o FBI e outras agências de aplicação da lei;
- A coalizão, então, usou o site do grupo para imitar sua operação anterior e começar a vazar informações sobre o LockBit, postando contagem regressiva para os arquivos ainda a serem divulgados, incluindo provocação com informações futuras sobre o líder anônimo do grupo;
- Criminosos que invadem as redes internas de organizações-alvo usam ransomware para criptografar os dados lá e torná-los inutilizáveis;
- Eles exigem dinheiro pela chave de descriptografia e às vezes para não publicar os dados roubados;
- De acordo com o Departamento de Justiça, o LockBit foi usado para extorquir mais de US$ 120 milhões (R$ 591,34 milhões, em conversão direta) em pagamentos de resgate de mais de duas mil vítimas.
Criptomoedas apreendidas e participantes presos
O primeiro sinal da tomada de controle apareceu na segunda-feira (19) à noite, quando um aviso foi exibido no site do LockBit, dizendo: “Este site agora está sob o controle da Agência Nacional de Crimes do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei, ‘Operação Cronos’.”
Autoridades do Reino Unido e dos EUA disseram que ganharam o controle de 200 contas financeiras que contêm quantidade desconhecida de criptomoedas, do código-fonte de programação usado para criptografar dados e retirá-los de redes corporativas, e de registros de conversas eletrônicas com os afiliados do LockBit que conduziam os ataques reais.
Um participante acusado foi preso na Ucrânia e outro na Polônia, ambos agora sob custódia estadunidense, enquanto uma acusação foi revelada contra outros dois que se presumem estarem na Rússia.
LockBit: um dos grupos de ransomware mais ativos
Estima-se que o LockBit tenha sido responsável por cerca de 1/4 de todos os ataques de ransomware nos últimos dois anos, de acordo com a Secureworks. Acredita-se amplamente que o LockBit seja operado a partir da Rússia, embora suas conexões com o governo russo, se houver, sejam incertas.
O LockBit publicou dados roubados da Boeing e perturbou os mercados financeiros com ataque ao setor de serviços financeiros de um grande banco chinês, o ICBC.
A ferramenta também foi usada para prejudicar o serviço postal do Reino Unido no ano passado, interrompendo as exportações de encomendas internacionais por uma semana.
Ela atingiu várias cidades, sistemas escolares e condados dos EUA, incluindo recentemente o Condado de Fulton, na Geórgia, onde o ex-presidente Donald Trump enfrenta acusações relacionadas aos seus supostos esforços para anular a eleição de 2020.
LockBit bloqueado: autoridades recuperam controle
Autoridades da Agência Nacional de Crimes do Reino Unido chamaram o LockBit de “o grupo de cibercrime mais nocivo” do mundo.
A partir de nossa estreita colaboração, hackeamos os hackers; tomamos controle de sua infraestrutura, apreendemos seu código-fonte e obtivemos chaves que ajudarão as vítimas a descriptografar seus sistemas. A partir de hoje, o LockBit está bloqueado.
Graeme Biggar, diretor-geral do NCA, em comunicado
As autoridades não revelaram como conseguiram apreender o site do LockBit, mas uma pessoa próxima à operação disse que pode ter levado cerca de um ano.
Com grupos de ransomware atacando infraestruturas críticas e extorquindo até US$ 1 bilhão (R$ 4,92 bilhões) anualmente, muitas vezes agindo de dentro das fronteiras da Rússia, desmantelar esses grupos com ajuda da tecnologia se tornou prioridade máxima, às vezes com assistência de agências de inteligência e militares, além das agências de aplicação da lei.
Derrubar grupos criminosos anteriores resultou na interrupção ou enfraquecimento de algumas quadrilhas. No entanto, como alguns dos principais grupos agem de forma descentralizada, oferecendo seus serviços para cibercriminosos que buscam penetrar em uma organização, outros grupos de ransomware foram capazes de oferecer serviços semelhantes.
Neste caso, os investigadores estão ameaçando os próprios hackers, conhecidos como afiliados do LockBit, avisando-os no site apreendido que poderão entrar em contato e convidando-os a se apresentarem primeiro.
O LockBit se tornou a principal operação de ransomware, dando a seus afiliados, que ficam com cerca de 80% dos resgates, latitude incomum para negociar com seus alvos e publicar os dados roubados eles mesmos. Outros grupos de ransomware lidam com tais tarefas em nome dos hackers.
Essa colaboração mais estreita entre o LockBit e seus afiliados pode ter ajudado os investigadores a penetrar na rede. A coalizão disse também ter obtido controle de 28 servidores pertencentes a afiliados.