Após 5 dias da Operação Cronos, ação colaborativa entre forças internacionais que apreendeu a infraestrutura e assumiu o controle do ambiente de administração do LockBit, o grupo de ransomware anunciou que voltou à ativa no último sábado (24). Em um post direcionado especificamente ao FBI, o líder do grupo cibercriminoso forneceu detalhes sobre a violação que resultou na ação das polícias internacionais e como o LockBit irá administrar os negócios ilícitos para tornar sua infraestrutura mais difícil de ser hackeada pelas autoridades.
Em um longo comunicado, o administrador comentou que alguns de seus sites foram confiscados possivelmente por uma falha crítica do PHP rastreada como CVE-2023-3824, reconhecendo que não atualizaram o PHP devido à “negligência pessoal e irresponsabilidade”. A gangue manteve a marca e mudou o site de vazamento de dados para um novo endereço na dark web, que já lista vítimas com contagem regressiva para publicação de informações roubadas.
“Percebo que pode não ter sido esse CVE, mas sim algo como 0-day para PHP, mas não posso ter 100% de certeza, pois a versão instalada em meus servidores já era conhecida por ter uma vulnerabilidade conhecida. Então, isso é provavelmente a forma como os servidores foram acessados”, pontua o cibercriminoso. “Não prestei muita atenção nisso porque, durante 5 anos nadando em dinheiro, fiquei com muita preguiça e continuei andando de iate”, ironiza.
O ciberatacante comentou sobre a invasão dos servidores na última semana, segundo ele, o FBI obteve um banco de dados, que não são fontes como divulgado pelas autoridades, mas uma pequena porção de chaves para descriptografar cerca de 1.000 arquivos impactados pelo LockBit. “Mas existem quase 20.000 decodificadores no servidor que o FBI não poderá usar”, diz o comunicado.
O grupo acrescentou ainda que os apelidos dos afiliados não possuem relação com seus apelidos reais em fóruns. A postagem também tentou desacreditar as agências de aplicação da lei, alegando que o verdadeiro “Bassterlord” não foi identificado e que as ações do FBI visam destruir a reputação do programa de afiliados.
Agora, o LockBit planeja atualizar a segurança de sua infraestrutura e passar a liberar descriptografadores manualmente, além de hospedar o painel de afiliados em vários servidores, fornecendo aos seus parceiros acesso a diferentes cópias com base no nível de confiança. “Com isso, a chance de hacking será significativamente reduzida”, ressaltou em mensagem.
“A equipe LockBit pode tentar voltar à ativa com um nome diferente ou por meio de afiliados que não foram diretamente afetados. Os principais desenvolvedores ou parceiros podem transferir as operações para infraestruturas novas e mais robustas, com técnicas adaptadas de disseminação e exploração ou visando diferentes perfis de vítimas, tornando mais difícil para as autoridades o seu rastreio”, completa German Patiño, vice-presidente de vendas da Lumu Technologies para a América Latina. Dois dias após a ação contra o grupo, a quadrilha já havia disponibilizado um site backup com todas as informações vazadas”, alerta o executivo.
Entenda o caso
A campanha internacional de disrupção do grupo Lockbit contou com a colaboração do FBI, Europol e parceiros internacionais de 10 países, que manteve uma investigação secreta e uma força-tarefa dedicada à chamada Operação Cronos. A coligação de agências policiais chegou a publicar no próprio site do LockBit a mensagem: “Este site está agora sob o controle da Agência Nacional do Crime do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei, Operação Cronos.”
“Foi uma batalha importante. Entretanto, precisamos ser vigilantes na Segurança Digital e manter os esforços no combate e proteção. O Lockbit esteve envolvido em um grande volume de eventos ocorridos e qualquer queda deve ser momentânea. A continuidade das ações e forças policiais podem ajudar em uma queda persistente e mais acentuada”, comenta Paulo Condutta, CISO do Ouribank em uma entrevista à Security Report na sexta-feira (23).
Para o CISO e DPO da Clash, Ricardo Castro, esse tipo de ação deveria acontecer como padrão, sempre unindo forças de segurança, policiais, além de órgãos de proteção e sociedade civil. Segundo Castro, um ponto que já é discutido há muito tempo é a colaboração entre áreas de Segurança, mas que ainda existe um sentimento de que o segmento é isolado do restante do mundo.
“Então, avaliar que isso ocorreu e a forma como aconteceu faz com que tenhamos um modelo importante a ser seguido daqui em diante. Essa colaboração internacional e o resultado alcançado acabam virando referências para a nossa comunidade”, refletiu o executivo da Clash.