Uma operação envolvendo agências policiais de 10 países interromperam a operação de ransomware LockBit em uma operação conjunta conhecida como “Operação Cronos”. De acordo com um banner exibido no site de vazamento de dados da LockBit, o site está agora sob o controle da Agência Nacional do Crime do Reino Unido.
Operação do Ransomware LockBit é interrompida
De acordo com o banner exibido no site de vazamento de dados da LockBit, as seguintes informações estão postas:
O site está agora sob o controle das autoridades policiais. Este site está agora sob o controle da Agência Nacional do Crime do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei, Operação Cronos.
Podemos confirmar que os serviços da Lockbit foram interrompidos como resultado de ações internacionais de aplicação da lei – esta é uma operação contínua e em desenvolvimento.
Embora o site de vazamento do Lockbit não esteja mais acessível, mostrando o banner de apreensão incorporado abaixo ou um erro “Incapaz de conectar” informando que a conexão foi recusada, alguns dos outros sites obscuros da gangue (incluindo outros sites usados ??para hospedar dados e enviar mensagens privadas para a gangue) ainda estão acordados.
O BleepingComputer também confirmou que os sites de negociação de resgate do LockBit estão fora do ar, mas atualmente não exibem uma mensagem de apreensão da NCA. “A NCA pode confirmar que os serviços LockBit foram interrompidos como resultado de ações internacionais de aplicação da lei. Esta é uma operação contínua e em desenvolvimento”, disse um porta-voz da NCA ao BleepingComputer.
Espera-se que as agências de aplicação da lei por trás da Operação Chronos publiquem um comunicado de imprensa conjunto. A operação LockBit é executada por um agente de ameaça conhecido como LockBitSupp, que se comunica pelo serviço de mensagens Tox. O status de sua conta no serviço agora mostra uma mensagem informando que o FBI violou os servidores da operação de ransomware usando um exploit PHP.
“O FBI interrompeu servidores via PHP, servidores de backup sem PHP não podem ser tocados”, diz a mensagem de status traduzida do LockBitSupp escrita em russo. A operação LockBit ransomware como serviço (RaaS) surgiu em setembro de 2019 e desde então tem como alvo uma ampla gama de organizações de alto perfil em todo o mundo.
A polícia também retirou o painel de afiliados do LockBit e adicionou uma mensagem dizendo que o código-fonte do LockBit, bate-papos e informações das vítimas também foram apreendidos.
A aplicação da lei assumiu o controle da plataforma da Lockbit e obteve todas as informações nela contidas. Essas informações referem-se ao grupo Lockbit e a você, seu afiliado. Temos o código-fonte, detalhes das vítimas que você atacou, a quantidade de dinheiro extorquido, os dados roubados, bate-papos e muito, muito mais.
Você pode agradecer ao Lockbitsupp e sua infraestrutura defeituosa por esta situação… poderemos entrar em contato com você muito em breve. Tenha um bom dia. Atenciosamente, Agência Nacional do Crime do Reino Unido, FBI, Europol e Lei da Operação Cronos Força-Tarefa de Fiscalização.
Mensagem exibida no painel LockBit
A lista de vítimas da LockBit inclui o Royal Mail do Reino Unido, a cidade de Oakland, a gigante automotiva Continental e a Receita Federal italiana. Nos últimos anos, as autoridades também apreenderam os servidores do ransomware ALPHV (BlackCat) e os sites de pagamento e vazamento de dados Tor do ransomware Hive.