Importante gangue de crimes cibernéticos é alvo de operação internacional
Lockbit costuma exigir resgate para não vazar dados roubados de suas vítimas
A Lockbit, uma notória gangue de crimes cibernéticos, que exige resgate para não vazar dados roubados de suas vítimas, foi alvo de uma rara operação de forças de segurança internacionais.
A informação foi divulgada em uma postagem no site de extorsão da gangue nesta segunda-feira (19). A Agência Nacional de Crimes do Reino Unido e o Federal Bureau of Investigation (FBI) dos EUA, a Europol e outras agências policias estão envolvidas na ação.
“Este site está agora sob o controle da Agência Nacional do Crime do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei, a ‘Operação Cronos’”, dizia o post.
Um porta-voz da agência britânica confirmou que a gangue foi alvo da operação, destacando que ela estava “em andamento e em desenvolvimento”.
Um representante da Lockbit não respondeu às mensagens da Reuters pedindo comentários, mas fez uma postagem em um aplicativo de mensagens criptografadas dizendo que tinha servidores de backup que não foram afetados pela ação policial.
O Departamento de Justiça dos EUA e o FBI não responderam imediatamente aos pedidos de comentários.
A nota no site nomeou outras organizações policiais internacionais da França, Japão, Suíça, Canadá, Austrália, Suécia, Holanda, Finlândia e Alemanha.
A Lockbit e suas afiliadas invadiram algumas das maiores organizações do mundo nos últimos meses. A gangue ganha dinheiro roubando dados confidenciais e ameaçando vazá-los se as vítimas não pagarem um resgate exorbitante.
Seus afiliados são grupos criminosos com ideias semelhantes, recrutados pelo grupo para realizar ataques usando as ferramentas de extorsão digital da Lockbit.
O ransomware é um software malicioso que criptografa dados. A Lockbit ganha dinheiro coagindo seus alvos a pagar resgate para descriptografar ou desbloquear esses dados com uma chave digital.
A gangue foi descoberta em 2020, quando seu software malicioso de mesmo nome foi encontrado em fóruns de crimes cibernéticos em russo, levando alguns analistas de segurança a acreditar que a gangue está baseada na Rússia.
No entanto, o grupo não declarou apoio a nenhum governo e nenhum governo o atribuiu formalmente a um Estado-nação. Em seu extinto site na darkweb, o grupo destacou que estava “localizado na Holanda, completamente apolítico e interessado apenas em dinheiro”.
“Eles são o Walmart dos grupos de ransomware, o administrando como um negócio – é isso que os torna diferentes”, avaliou Jon DiMaggio, estrategista-chefe de segurança da Analyst1, uma empresa de segurança cibernética com sede nos EUA.
“Eles são sem dúvida a maior equipe de ransomware da atualidade”, destacou.
Autoridades dos Estados Unidos, onde a Lockbit atingiu mais de 1.700 organizações em quase todos os setores, desde serviços financeiros e alimentos até escolas, transportes e departamentos governamentais, descreveram o grupo como a maior ameaça de ransomware do mundo.
Em novembro do ano passado, a Lockbit publicou dados internos da Boeing BA.N, uma das maiores empreiteiras de defesa e espaço do mundo. No início de 2023, o Royal Mail, da Grã-Bretanha, enfrentou graves perturbações após um ataque do grupo.
Lista de vítimas atualizada diariamente
De acordo com o vx-underground, um site de pesquisa de segurança cibernética, a Lockbit afirmou em um comunicado em russo e compartilhado no Tox, um aplicativo de mensagens criptografadas, que o FBI atingiu seus servidores que rodam na linguagem de programação PHP.
O comunicado, que a Reuters não pôde verificar de forma independente, acrescentou que possui servidores de backup sem PHP que “não foram tocados”.
No X, anteriormente conhecido como Twitter, as capturas de tela compartilhadas pelo vx-underground mostrando o painel de controle usado pelas afiliadas da Lockbit para lançar ataques foram substituídas por uma mensagem das autoridades: “Temos o código-fonte, detalhes das vítimas que você atacou, a quantidade de dinheiro extorquido, dados roubados, bate-papos e muito, muito mais”.
“Podemos entrar em contato com você muito em breve. Tenha um bom dia”, acrescentou.
Antes de ser retirado do ar, o site da Lockbit exibia uma galeria cada vez maior de organizações de vítimas, atualizada quase diariamente. Ao lado de seus nomes, havia relógios digitais que mostravam o número de dias restantes para o prazo dado a cada organização para efetuar o pagamento do resgate.
Nesta segunda-feira (19), o site da Lockbit exibiu uma contagem regressiva semelhante, mas das agências policiais que hackearam os hackers: “Volte aqui para obter mais informações às: 11h30 GMT de terça-feira, 20 de fevereiro”, dizia a postagem.
Don Smith, vice-presidente da Secureworks, um braço da Dell Technologies DELL.N, destacou que a Lockbit era a operadora de ransomware mais prolífica e dominante em um mercado clandestino altamente competitivo.
“Para contextualizar a remoção de hoje, com base nos dados do site de vazamento, a Lockbit tinha uma participação de 25% no mercado de ransomware. Seu rival mais próximo era o Blackcat, com cerca de 8,5%, e depois disso ele realmente começa a se fragmentar”, comentou Smith.
“A Lockbit superou todos os outros grupos e a ação de hoje é altamente significativa”, concluiu.