O grupo LockBit viu o seu centro de comando e controlo hackeado numa operação policial internacional.
Aquele que é um dos principais grupos cibercriminosos do mundo, sofreu um revés significativo após uma operação conjunta entre o FBI, a Europol e a Agência Nacional de Crime (NCA) britânica.
O “centro de comando e controlo” do grupo na dark-web foi apreendido, levando à detenção de quatro dos seus membros. O grupo é estimado ser responsável por 25% de todos os ataques ransomware a nível mundial, no ano passado.
Hackeando os hackers
Graeme Biggar, diretor-geral da NCA, explicou que a colaboração estreita entre as agências permitiu “hackear os hackers”, controlar as suas infraestruturas, apreender o seu código-fonte e obter as chaves que ajudarão as vítimas a desencriptar os seus sistemas.
“Graças à nossa estreita colaboração, conseguimos hackear os hackers, controlar as suas infraestruturas, apreender o seu código-fonte e obter as chaves que ajudarão as vítimas a desencriptar os seus sistemas”
Graeme Biggar, diretor-geral da NCA
Em um golpe significativo contra o cibercrime, autoridades de 10 países desarticularam a operação do grupo de ransomware LockBit, impactando severamente sua capacidade e credibilidade.
O LockBit era considerado o ransomware mais prolífico e prejudicial do mundo, causando danos na ordem de milhares de milhões de euros.
A operação, resultado de uma investigação complexa liderada pela National Crime Agency do Reino Unido e coordenada pela Europol e Eurojust, resultou na desativação da plataforma principal do LockBit e outras infraestruturas críticas, na apreensão de 34 servidores em 8 países e no congelamento de mais de 200 contas em criptomoeadas ligadas à organização.
A investigação também possibilitou a obtenção de uma grande quantidade de dados que serão utilizados para identificar os líderes do grupo, criadores, afiliados e bens criminosos.
LockBit operava desde 2019
O LockBit, que operava desde 2019, utilizava o modelo de “ransomware como serviço”, com uma equipe central criando o malware e gerenciando o site, enquanto licenciava o código a afiliados que realizavam os ataques.
O grupo era conhecido pela extorsão tripla, combinando a encriptação de dados com ataques DDoS e ameaça de divulgação de dados roubados.
Esta operação representa um marco na luta contra o ransomware, demonstrando a capacidade das autoridades internacionais de colaborar e desarticular grupos criminosos.
Detenções e congelamento de contas
A operação resultou na detenção de dois indivíduos ligados ao grupo na Polónia e na Ucrânia, e outros dois nos Estados Unidos da América. Além disso, foram tornados públicos os nomes de dois suspeitos, cidadãos russos que se encontram foragidos. Ao todo, 200 contas de criptomoedas ligadas a ações criminosas foram congeladas.
Embora as autoridades não tenham explicado oficialmente como conseguiram aceder à rede do LockBit suspeita-se que a polícia tenha obtido acesso aos sistemas do LockBit através de uma falha de segurança no código PHP, utilizado para fazer o site.
Jean-Philippe Lecouffe, da Europol, admite que nem todos os membros foram detidos, mas este é “um processo de longo prazo” e as autoridades estão preparadas para “esperar” até que estes indivíduos se encontrem em jurisdições que permitam as suas detenções.
Um gigante do cibercrime
O grupo LockBit, suspeito de ter origem russa, tem ganho reputação pela quantidade de danos que tem causado a organizações de todo o mundo. O LockBit surgiu em 2019 e desenvolveu um modelo de negócio conhecido como ransomware-as-a-service (RaaS), que permitia a encriptação de dados de uma rede ou de uma organização a troco de dinheiro. Esta metodologia permitiu ao grupo escalar as suas operações e atingir um maior número de vítimas.
Outros artigos interessantes: