Internacional

Tecnologia

Desmantelado o maior grupo de “ransomware” (software de extorsão) do mundo

Operação para desmantelar o LockBit foi coordenada pela Europol e pelo FBI e envolveu 14 países. O grupo efetuou mais de 1700 ataques contra vítimas nos Estados Unidos e em todo o mundo.


A Lockbit, uma notória gangue de crimes cibernéticos que mantém os dados de suas vítimas como resgate, foi interrompida em uma operação internacional pelas autoridades dos Estados Unidos e do Reino Unido nesta segunda-feira, 19.

A operação foi dirigida pela Agência Nacional do Crime da Grã-Bretanha, pelo Federal Bureau of Investigation dos EUA, pela Europol e por uma coalizão de agências policiais internacionais, de acordo com uma postagem no site de extorsão da gangue.

Continua depois da Publicidade

Um porta-voz da NCA e um porta-voz do Departamento de Justiça dos EUA confirmaram que as agências haviam desmantelado a gangue e disseram que a operação estava “em andamento e em desenvolvimento”.

Autoridades dos Estados Unidos, onde o Lockbit atingiu mais de 1.700 organizações em quase todos os setores, desde serviços financeiros e alimentos até escolas, transportes e departamentos governamentais, descreveram o grupo como a maior ameaça de ransomware do mundo.

O LockBit é um grupo de Ransomware como Serviço (RaaS) que está ativo desde setembro de 2019. Ao operar como “provedor” de RaaS, ele fornece infraestrutura para outros cibercriminosos, conhecidos como afiliados, que então realizam seus ataques. Isso permite que o LockBit escale suas operações e atinja um maior número de vítimas. O LockBit também implementa a técnica de “dupla extorsão” em ataques de ransomware, que envolve a publicação dos dados roubados a menos que um resgate seja pago.

Operação Cronos contou com apoio de agências de diversos países para derrubar esquema por trás do ransomware LockBit – Fonte: Europol

Segundo os especialistas da Check Point Software, fornecedora global de soluções de cibersegurança na nuvem baseadas em IA, durante o ano de 2023, o grupo de ransomware mais dominante em termos do número de vítimas extorquidas foi o LockBit, com mais de 1.000 organizações afetadas no mundo. Os países mais impactados por esse grupo são os Estados Unidos, Reino Unido, França, Alemanha e Canadá. Além disso, os setores mais atacados são manufatura (quase 25% das vítimas) e o varejo.

Nas últimas semanas, o suporte do LockBit foi envolvido em uma importante disputa em um fórum clandestino russo de grande relevância, sendo proibido de realizar qualquer atividade nele devido a questões éticas duvidosas. Isso resultou em uma interrupção significativa das operações do grupo RaaS, devido à proibição nos dois principais fóruns de hacking russos.

Os especialistas presumem que a combinação desses dois fatores terá um grande impacto nas operações do LockBit, especialmente em termos de reputação, e causará dificuldades significativas para recrutar e manter afiliados que operem esse ransomware. Geralmente, esses grupos tão populares não desaparecem completamente, então é possível que se espere algum tipo de “rebranding” (reformulação).

“É um momento difícil para o LockBit, que recentemente foi removido de dois fóruns russos de cibercrime devido à sua ética empresarial questionável. Essa última ação das autoridades do Reino Unido e dos Estados Unidos será um golpe duro para suas operações e provavelmente afetará sua capacidade de recrutar e manter afiliados”, diz Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software Technologies.

“No entanto, como vimos no passado, os grupos de ransomware são muito resilientes e podem ressurgir sob uma identidade diferente em pouco tempo. A ameaça deste grupo de cibercriminosos e de outros grupos de ransomware continuará, e as empresas devem estar sempre alertas”, explica Sergey Shykevich, ao saber das notícias de que a National Crime Agency (NCA) do Reino Unido e outras agências e autoridades policiais internacionais assumiram o controle dos serviços do LockBit e comprometeram sua operação criminosa.

Principais grupos de ransomware em janeiro de 2024

Os pesquisadores da Check Point Software avaliaram em janeiro as informações derivadas de mais de 200 “sites da vergonha” (“shame sites”), ou seja, sites de difamação administrados por grupos de ransomware de dupla extorsão, 68 dos quais postaram os nomes e informações das vítimas este ano.

Os cibercriminosos usam esses sites para pressionar as vítimas que não pagam o resgate imediatamente. Os dados desses sites de difamação carregam seus próprios preconceitos, mas ainda fornecem informações valiosas sobre o ecossistema de ransomware, que atualmente é o risco número um às organizações.

No mês passado, o LockBit3 foi o ransomware de maior destaque, responsável por 20% dos ataques realizados, seguido pelo 8Base com 10% e pelo Akira com 9%.

1.LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

2.8base – O grupo de ameaças 8Base é uma gangue de ransomware que está ativa pelo menos desde março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento em suas atividades. Este grupo foi observado usando uma série de variantes de ransomware, sendo Phobos um elemento comum. A 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas em seu ransomware. Os métodos do grupo incluem táticas de dupla extorsão.

3.Akira Ransomware, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Ele usa criptografia simétrica com CryptGenRandom e Chacha 2008 para criptografia de arquivos e é semelhante ao ransomware Conti v2 que vazou. O Akira é distribuído por vários meios, incluindo anexos de e-mail infectados e explorações em endpoints de VPN. Após a infecção, ele criptografa os dados e anexa uma extensão “[.] akira” nos nomes dos arquivos e, em seguida, apresenta uma nota de resgate exigindo pagamento pela descriptografia.

Foram encerrados 34 servidores nos Países Baixos, na Alemanha, na Finlândia, em França, na Suíça, na Austrália, nos Estados Unidos e no Reino Unido. Duas pessoas foram detidas na Polónia e na Ucrânia e mais de 200 contas em criptomoedas foram congeladas.

Diz Brett Lederman, diretor adjunto para as operações cibernéticas do FBI: “Os atores ligados à empresa criminosa LockBit causaram danos significativos a milhares de vítimas em todos os nossos países e em todo o mundo. Nos últimos anos, o grupo tem sido indiscriminado nos seus alvos, explorando organizações ligadas a agências governamentais, hospitais, escolas e empresas globais de alto nível.”

Com informações da Livecoins