No que diz respeito às gangues de ransomware, nenhuma é tão conhecida ou notória quanto o LockBit. Mas o grupo de ransomware mais prolífico do mundo acaba de ver o seu website tomado e as operações interrompidas por agências de aplicação da lei de 12 países numa operação conjunta.
O site da LockBit exibe atualmente um banner que afirma que está sob o controle da Agência Nacional do Crime do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei chamada Operação Cronos.
Além do logótipo da Europol e das bandeiras dos EUA e do Reino Unido, o banner mostra que as outras agências de aplicação da lei envolvidas são da Austrália, Canadá, Alemanha, Suécia, Finlândia, Países Baixos, Japão, França e Suíça.
Um porta-voz da NCA e um porta-voz do Departamento de Justiça dos EUA confirmaram que as agências haviam desmantelado a gangue e disseram que a operação estava “em andamento e em desenvolvimento”.
A LockBit esteve por trás de mais de 1.700 ataques a organizações nos Estados Unidos de praticamente todos os setores, desde governamental e financeiro até transporte, saúde e educação. A LockBit até assumiu a responsabilidade por um ataque a um hospital infantil de Chicago no início deste mês, exigindo um resgate de US$ 800 mil da organização sem fins lucrativos.
Internacionalmente, o LockBit causou o caos ao atingir o Porto de Lisboa, o serviço Royal Mail do Reino Unido, as instalações da Foxconn no México e o Serviço de Receitas Italiano nos últimos anos. Houve também o caso do ransomware usado contra uma empresa de cercas do Reino Unido no ano passado (que ainda rodava o Windows 7), comprometendo dados militares confidenciais.
A LockBit foi uma das primeiras a oferecer ransomware como serviço (RaaS) para outros criminosos, que devem enviar à gangue parte dos pagamentos de ransomware retirados das vítimas. Desde que ressurgiu no final de 2019, os pesquisadores da Recorded Future atribuíram quase 2.300 ataques ao grupo, escreve o The Record . O segundo grupo mais prolífico, Conti, foi associado a 883 ataques.
Um comunicado de segurança emitido por uma coalizão internacional no ano passado revelou que as organizações pagaram cerca de US$ 91 milhões aos criminosos LockBit desde 5 de janeiro de 2020. Ele disse que o LockBit era uma das ameaças de ransomware mais proeminentes e perigosas do mundo atualmente.
BleepingComputer escreve que LockBitSupp, o ator de ameaça que executa a operação LockBit, atualizou sua conta no serviço de mensagens Tox para mostrar uma mensagem informando que o FBI violou os servidores da operação de ransomware usando uma exploração de PHP.
O painel de afiliados do LockBit também foi removido. Ele mostra uma mensagem das autoridades informando que o código-fonte, os bate-papos e as informações das vítimas do LockBit também foram apreendidos.
“A aplicação da lei assumiu o controle da plataforma da Lockbit e obteve todas as informações nela contidas. Essas informações referem-se ao grupo Lockbit e a você, seu afiliado. Temos o código-fonte, detalhes das vítimas que você atacou, a quantidade de dinheiro extorquido, os dados roubados, bate-papos e muito, muito mais”, afirma a mensagem.
“Você pode agradecer ao Lockbitsupp e sua infraestrutura defeituosa por esta situação […] poderemos entrar em contato com você muito em breve. Tenha um bom dia. Atenciosamente, Agência Nacional do Crime do Reino Unido, FBI, Europol e Operação Força-Tarefa de Aplicação da Lei de Cronos.”