O
LockBit, descrito pelas autoridades policiais “como um dos mais prolíficos gangues de ransomware do mundo”, foi desmantelado numa campanha coordenada que envolveu autoridades dos Estados Unidos, Reino Unido e meia dúzia de outros países, anunciaram hoje várias agências.
O Departamento de Justiça dos EUA apresentou uma acusação contra dois homens russos, Artur Sungatov e Ivan Kondratyev, por terem efectuado ataques do LockBit contra empresas americanas. Sungatov supostamente atingiu fabricantes, seguradoras e outras empresas em pelo menos seis estados desde janeiro de 2021.
“Hoje, a aplicação da lei dos EUA e do Reino Unido está tirando as chaves de sua operação criminosa”, disse o procurador-geral dos EUA, Merrick Garland, no comunicado do DOJ. “E estamos a dar um passo em frente – também obtivemos chaves da infraestrutura do LockBit apreendida para ajudar as vítimas a desencriptar os seus sistemas capturados e a recuperar o acesso aos seus dados.”
Kondratyev, conhecido online como “Bassterlord”, supostamente implantou o ransomware em alvos que variam de governos municipais a corporações em Oregon, Porto Rico e no exterior a partir de agosto de 2021.
O escopo global da Operação Cronos para derrubar o LockBit. Imagem: Europol
O Gabinete de Controlo de Activos Estrangeiros (OFAC) do Departamento do Tesouro sancionou Sungatov e Kondratyev, proibindo indivíduos e empresas dos EUA de fazerem negócios com eles e congelando quaisquer bens sob jurisdição dos EUA, e acrescentou nove endereços de carteiras Bitcoin e um Ethereum ligados a eles à lista de sanções.
A “Operação Cronos”, que durou meses, resultou na apreensão de dezenas de servidores em toda a Europa, América do Norte e Austrália, que eram utilizados para levar a cabo os ataques de ransomware da LockBit, que encriptavam os dados das vítimas e as extorquiam para obter pagamentos, de acordo com um anúncio da Europol na terça-feira.
As autoridades também assumiram o controlo do portal na dark web onde o LockBit publicava os dados sensíveis roubados às vítimas que se recusavam a pagar.
“Destruímos agora a espinha dorsal online do grupo LockBit, um dos grupos de ransomware mais prolíficos do mundo”, afirmou a directora executiva da Europol, Catherine De Bolle, no comunicado.
“O primeiro passo para colocar os cibercriminosos atrás das grades é denunciar o cibercrime quando ele acontece”, acrescentou. “Quanto mais cedo as pessoas denunciarem, mais rapidamente as autoridades policiais poderão avaliar as novas metodologias e limitar os danos que podem causar. “
O que era o LockBit?
O LockBit apareceu pela primeira vez no início de 2020, usando ransomware que criptografa os arquivos das vítimas e as bloqueia fora de suas redes, a menos que paguem um resgate, geralmente em criptomoeda. De acordo com a acusação do DOJ, os pagamentos eram normalmente exigidos em Bitcoin.
Tal como outros grupos de “ransomware como serviço”, a LockBit operava através de um grupo central de programadores que criavam as ferramentas de malware e geriam a infraestrutura, recrutando depois afiliados para infetar alvos em troca de uma parte dos lucros. Os programadores da LockBit mantinham um painel de controlo que permitia aos afiliados lançar ataques com apenas alguns cliques.
Em 2022, o LockBit eclipsou outras variedades de ransomware, tornando-se o mais difundido no mundo, segundo a Europol. O sindicato arrecadou mais de US $ 120 milhões em pagamentos de resgate de mais de 2.000 vítimas em todo o mundo, de acordo com o Departamento de Justiça, com demandas totais provavelmente chegando a centenas de milhões.
O LockBit ganhou notoriedade por utilizar a “extorsão tripla”, ameaçando as vítimas não só com dados encriptados, mas também com a exposição de informação roubada e ataques incapacitantes de negação de serviço.
Autoridades contra-atacam
Além disso, as autoridades francesas e norte-americanas prenderam ou apresentaram queixa contra uma lista crescente de alegados membros do LockBit. A Polónia deteve o suspeito de ransomware Ivan Kondratiev em outubro de 2022, enquanto outro cidadão russo foi detido na Ucrânia.
Foram emitidos três mandados de captura internacionais relacionados com a recente ofensiva. As autoridades francesas também garantiram cinco acusações. Entretanto, as autoridades congelaram as carteiras de criptomoedas que os membros da LockBit alegadamente utilizavam para o pagamento de resgates.
“Isto sublinha o compromisso de interromper os incentivos económicos que impulsionam os ataques de ransomware”, afirmou o DOJ.
Ajudar as vítimas a recuperar
Estas soluções também foram disponibilizadas gratuitamente no portal ‘No More Ransom’, disponível em 37 línguas. Até à data, mais de 6 milhões de vítimas em todo o mundo beneficiaram do No More Ransom, que contém mais de 120 soluções capazes de desencriptar mais de 150 tipos de ransomware.
Monaco afirmou que a operação representa um grande revés para um dos grupos de ransomware mais agressivos, mas não será a última ação contra os cibercriminosos.
“A nossa investigação vai continuar e continuamos tão determinados como sempre a identificar e acusar todos os membros do LockBit – desde os seus criadores e administradores até aos seus afiliados”, disse o Procurador dos EUA Philip Sellinger. “Vamos colocá-los sob os holofotes como criminosos procurados. Eles não vão mais se esconder nas sombras. “
