As forças de segurança de uma dúzia de países desferiram um duro golpe aperte LockBit. Estamos a falar do grupo de hackers mais prolífico do mundo cujos ataques mais recentes atingiram o Porto de Lisboa, o banco chinês ICBC e a Câmara Municipal de Sevilha. Depois de pouco mais de quatro anos obtendo milhões de dólares com suas atividades ilícitas, o grupo teria sido desmantelado.
Pelo menos esta é a informação que nos chega da Agência Nacional do Crime (NCA) do Reino Unido, que liderou uma operação internacional chamada “Operação Cronos” com a assistência da Europol e da Eurojust. O resultado, explicam, foi a interrupção da atividade da LockBit “em todos os níveis”, a prisão de dois membros da gangue e a intervenção de mais de 200 contas de criptomoedas.
LockBit, contra as cordas
O maior impacto para o LockBit foi a perda da maior parte de sua infraestrutura criminosa. Segundo autoridades, os integrantes da operação conseguiram assumir o controle da maior parte de seus sistemas depois de se infiltrar neles. Desta forma, 34 servidores que estavam localizados na Holanda, Alemanha, Finlândia, França, Austrália, Estados Unidos, Reino Unido e Suíça já não estão operacionais.
LockBit tinha uma página dark web que fazia contato com grupos de atacantes radicais e também era a principal fonte de ameaças do grupo e de publicação de dados de vítimas roubadas. Atualmente, se quisermos aceder a esta página através da rede Tor encontramos a mensagem que podemos ver na imagem da capa que mostra a intervenção das forças policiais.
A NCA afirma ter obtido também o código-fonte da plataforma LockBit e informações históricas importantes sobre a atividade do grupo. Por exemplo, Com quais outros grupos você trabalhou?. Isto se traduz em enormes danos à credibilidade da LockBit no mundo do crime cibernético, principalmente se levarmos em conta que seu esquema de negócio é o ransomware como serviço (RaaS).
A expectativa é que o conteúdo dos servidores apreendidos sirva para apoiar investigações paralelas para encontrar outros grupos de cibercriminosos. Como dizemos, a operação também resultou na prisão de duas pessoas de nacionalidade russa relacionadas com o grupo de raiz. Um deles foi na Polónia e o outro na Ucrânia. Ambos os suspeitos receberam acusações dos Estados Unidos.
Forças policiais da França, Alemanha, Holanda, Suécia, Austrália, Canadá, Japão, Reino Unido, Estados Unidos e Suíça participaram da “Operação Cronos”. Porém, recebeu a colaboração da Polícia Nacional Finlandesa, do Gabinete Central de Crimes Cibernéticos em Cracóvia (Polónia), da Polícia da Nova Zelândia, do Gabinete do Procurador-Geral da Ucrânia, do Departamento de Segurança Cibernética da Ucrânia e da Polícia Nacional da Ucrânia.
Ransomware como serviço e chaves de criptografia
LockBit promoveu um modelo de crime cibernético bastante curioso, mas já convencional. Este é o mencionado ransomware como serviço (RaaS), um equivalente malicioso do modelo legal de software como serviço (SaaS). Neste esquema, a LockBit ficou encarregada de desenvolver o ransomware e oferecê-lo a outros aderentes, ou seja, a atores maliciosos dispostos a pagar para utilizá-lo.
Quando o ransomware LockBit infecta um sistema, os dados no sistema da vítima tornam-se criptografados e inacessíveis. Os invasores então solicitam pagamento de um resgate em criptomoedas para fornecer a chave de descriptografia que permite que elas sejam restauradas ao seu estado original. Às vezes, se o resgate não for pago, também existe a ameaça de publicar os dados criptografados.
A Operação Cronos permitiu-nos descobrir duas informações muito interessantes. Por um lado, o LockBit nem sempre teria apagado os dados das vítimas que pagaram resgate. E isto é particularmente sensível no caso de empresas que caíram na armadilha. Por outro lado, foram obtidas mais de 1.000 chaves de desencriptação que podem ajudar as vítimas a recuperar os seus dados sem pagar qualquer resgate.
A NCA prometeu entrar em contato com as vítimas do Reino Unido “nos próximos dias e semanas” para que possam usar o chaves. Em qualquer caso, espera-se que estes sejam adicionados à página “No More Ransom” controlada pela Europol. As vítimas de ataques de hack poderão usar este recurso para descobrir as chaves de descriptografia LockBit mais recentes.
Imagens: NCA
Em Xataka: Os EUA não são a maior ameaça para a China no domínio da segurança cibernética. O país mais temido é a Índia