Nesta terça-feira (20), uma operação colaborativa entre forças internacionais apreendeu a infraestrutura e assumiu o controle do ambiente de administração do grupo de ransomware LockBit, revelou a Agência Nacional do Crime (NCA) do Reino Unido. O LockBit é amplamente reconhecido como um dos mais perigosos grupos de ransomware, que tem como alvo mais de 2.000 vítimas e já recebeu mais de US$ 120 milhões em resgate, segundo dados do FBI.
A campanha internacional de disrupção do grupo contou com a colaboração do FBI, Europol e parceiros internacionais de 10 países, que mantém uma investigação secreta e uma força-tarefa dedicada chamada Operação Cronos. A coligação de agências policiais publicou no próprio site do LockBit a mensagem: “Este site está agora sob o controle da Agência Nacional do Crime do Reino Unido, trabalhando em estreita cooperação com o FBI e a força-tarefa internacional de aplicação da lei, Operação Cronos.”
“Esta investigação mostra que nenhuma operação criminosa, onde quer que esteja e por mais avançada que seja, está fora do alcance da Agência e dos nossos parceiros”, destaca o Diretor Geral da NCA, Graeme Biggar. “Através da nossa estreita colaboração, hackeamos os hackers, assumimos o controle de sua infraestrutura, apreendemos seu código-fonte e obtiveram chaves que ajudarão as vítimas a descriptografar seus sistemas”, completa Biggar.
De acordo com a NCA, os serviços do LockBit foram interrompidos e, agora, o site do grupo hospedará uma série de informações expondo a capacidade e as operações dos cibercriminosos que serão publicadas diariamente pela NCA. A Agência também obteve o código-fonte da plataforma LockBit e uma vasta quantidade de dados relacionados às atividades ilícitas daqueles que trabalharam no grupo.
“Algumas informações presentes nos sistemas da LockBit pertenciam a vítimas que pagaram resgate aos cibercriminosos, evidenciando que, mesmo sob um pagamento, não se tem garantia alguma de que os dados serão eliminados”, diz a NCA.
Prisão dos criminosos
O LockBit contava com uma ferramenta personalizada de exfiltração de dados, conhecida como Stealbit, que era usada por afiliados para roubar informações sensíveis das vítimas. Nas últimas 12 horas, esta infraestrutura, baseada em três países, também foi apreendida por membros da Operação Cronos e 28 servidores pertencentes a afiliados foram derrubados.
Outra ação coordenada pela Europol prendeu dois membros do LockBit na Polónia e na Ucrânia e mais de 200 contas de criptomoedas ligadas ao grupo foram congeladas. Nos Estados Unidos, o Departamento de Justiça anunciou que dois réus responsáveis pelo uso do LockBit para realizar ataques de ransomware foram acusados criminalmente, estão sob custódia e serão julgados nos EUA.
“A infiltração técnica e a interrupção são apenas o começo de uma série de ações contra a LockBit e suas afiliadas. Como resultado do nosso trabalho, temos condições de ajudar as vítimas, pois temos mais de 1.000 chaves de desencriptação e entraremos em contacto para ajudar os prejudicados baseados no Reino Unido a fim de oferecer apoio e ajudá-los a recuperar dados encriptados”, completa a NCA. O FBI e a Europol apoiarão as vítimas em outros países.
“Não é a primeira variante de ransomware que o Departamento de Justiça dos EUA e seus parceiros internacionais desmantelaram. E não será o último”, encerra o procurador-geral dos Estados Unidos, Merrick B. Garland.
