O Federal Bureau of Investigation (FBI) dos EUA divulgou que possui mais de 7.000 chaves de descriptografia associadas à operação de ransomware LockBit. As chaves estão sendo usadas para ajudar as vítimas a recuperar seus dados sem nenhum custo.
De acordo com o próprio FBI, a agência está entrando em contato com vítimas conhecidas do LockBit. Segundo o diretor assistente da Divisão Cibernética do FBI, Bryan Vorndran, em um discurso na Conferência de Boston sobre Cibersegurança de 2024, a agência está incentivando qualquer pessoa que suspeite ter sido vítima a visitar seu Centro de denúncias de crimes na Internet em ic3.gov.
Chaves de descriptografia do ransomware LockBit
LockBit, que já foi uma prolífica gangue de ransomware, foi associada a mais de 2.400 ataques em todo o mundo, com nada menos que 1.800 entidades impactantes nos EUA. No início de fevereiro, uma operação internacional de aplicação da lei chamada Cronos, liderada pela Agência Nacional do Crime do Reino Unido (NCA) desmantelou sua infraestrutura online.
Em maio, um cidadão russo de 31 anos chamado Dmitry Yuryevich Khoroshev foi denunciado pelas autoridades como administrador e desenvolvedor do grupo, uma alegação que a LockBitSupp negou desde então.
“Ele mantém a imagem de um hacker obscuro, usando pseudônimos online como ‘Putinkrab’, ‘Nerowolfe’ e ‘LockBitsupp’”, disse Vorndran. “Mas, na verdade, ele é um criminoso, mais envolvido na burocracia da administração de sua empresa do que em qualquer atividade secreta.” Khoroshev também teria nomeado outros operadores de ransomware para que as autoridades pudessem “pegar leve com ele”. Apesar destas ações, a LockBit continuou ativa sob uma nova infraestrutura, embora não operando em nenhum lugar nos níveis anteriores.
Ataques
Estatísticas compartilhadas pela Malwarebytes mostram que a família ransomware foi associada a 28 ataques confirmados no mês de abril de 2024, ficando atrás de Play, Hunters International e Black Basta.
Além disso, Vordan também enfatizou que as empresas que optam por pagar para evitar o vazamento de dados não têm garantia de que as informações sejam realmente excluídas pelos invasores, acrescentando que “mesmo que você recupere os dados dos criminosos, você deve presumir que um dia eles poderão ser divulgados, ou você poderá um dia ser extorquido novamente pelos mesmos dados.”
De acordo com o Veeam Ransomware Trends Report 2024, que se baseia em uma pesquisa com 1.200 profissionais de segurança, as organizações que sofrem um ataque de ransomware podem recuperar, em média, apenas 57% dos dados comprometidos, deixando-as vulneráveis ??a “perda substancial de dados e negócios negativos”.
O desenvolvimento coincide com o surgimento de novos players, como SenSayQ e CashRansomware (também conhecido como CashCrypt), à medida que famílias de ransomware existentes como TargetCompany (também conhecidas como Mallox e Water Gatpanapun) estão refinando consistentemente sua habilidade comercial, aproveitando uma nova variante do Linux para atingir sistemas VMWare ESXi.
Os ataques aproveitam servidores Microsoft SQL vulneráveis ??para obter acesso inicial, técnica adotada pelo grupo desde sua chegada em junho de 2021. Ele também determina se um sistema alvo está sendo executado em um ambiente VMWare ESXi e tem direitos administrativos antes de prosseguir com o rotina maliciosa.
A empresa de segurança cibernética atribuiu os ataques de implantação da nova variante Linux do ransomware TargetCompany a um afiliado chamado Vampire, que também foi revelado pela Sekoia no mês passado.