LockBit volta a atuar após interrupção por operação internacional

O infame grupo de ransomware LockBit, considerado o mais prolífico do mundo, está de volta menos de uma semana após ter seu site invadido e suas operações interrompidas por uma ação conjunta internacional.

Na semana passada, o site do LockBit exibia uma mensagem informando que estava sob controle de autoridades policiais. A operação envolveu a Agência Nacional de Crimes do Reino Unido (NCA), o FBI e uma força-tarefa internacional chamada Operação Cronos. Durante a ação, as operações do LockBit foram interrompidas e supostos membros do grupo foram presos em diversos países.

Na época, o LockBit alegou que o FBI invadiu seus servidores usando uma vulnerabilidade na linguagem PHP, mas que seus servidores de backup não haviam sido afetados. “Todos os outros servidores com blogs de backup que não tinham PHP instalado não foram afetados e continuarão a liberar dados roubados das empresas atacadas”, disse o grupo em um comunicado no seu site na dark web.

O LockBit também admitiu que “negligência pessoal e irresponsabilidade” levaram as autoridades a interromper suas atividades, segundo o site BleepingComputer. “Devido a 5 anos nadando em dinheiro, me tornei muito preguiçoso”, escreveu o cibercriminoso responsável pelo grupo. “Por causa da minha negligência pessoal e irresponsabilidade, eu relaxei e não atualizei o PHP a tempo.”

O grupo afirma que o servidor do administrador, o servidor de bate-papo e o servidor do blog estavam executando o PHP 8.1.2 e provavelmente foram hackeados usando a vulnerabilidade crítica CVE-2023-3824.

A mensagem do LockBit alega ainda que o FBI invadiu sua infraestrutura por causa do ataque de ransomware ao Condado de Fulton, que revelou “muitas coisas interessantes e processos judiciais de Donald Trump que poderiam afetar a próxima eleição dos EUA”. O grupo disse que pretende atacar o setor governamental com mais frequência para ver se as autoridades têm capacidade de revidar.

O site de vazamento de dados do LockBit foi transferido para um novo endereço “.onion” e exibe cinco cronômetros com nomes de empresas. Eles indicam o tempo que cada organização tem para pagar o resgate, antes que as informações roubadas sejam publicadas.

A NCA do Reino Unido declarou ao PCMag que, em colaboração com parceiros internacionais, eles infiltraram e assumiram o controle dos sistemas do Lockbit, comprometendo toda a sua operação criminosa. “Seus sistemas agora foram destruídos pela NCA, e nossa avaliação é que o LockBit permanece completamente comprometido.”

“Reconhecemos que o LockBit provavelmente tentaria se reagrupar e reconstruir seus sistemas”, acrescentou a NCA. “No entanto, reunimos uma grande quantidade de informações sobre eles e seus associados, e nosso trabalho para identificá-los e desabilitá-los continua.”

As autoridades afirmam ter recuperado mais de 1.000 chaves de descriptografia como parte da operação contra o LockBit, embora o grupo afirme que esse número está sendo exagerado e que existam cerca de 40.000 chaves no total.