A remoção do LockBit Ransomware atinge profundamente a viabilidade da marca

Apesar da gangue de ransomware como serviço (RaaS) LockBit afirmar estar de volta após uma remoção de alto perfil em meados de fevereiro, uma análise revela interrupções significativas e contínuas nas atividades do grupo – juntamente com efeitos em cascata em todo o submundo do crime cibernético, com implicações para o risco do negócio.

O LockBit foi responsável por 25% a 33% de todos os ataques de ransomware em 2023, de acordo com a Trend Micro, tornando-o facilmente o maior grupo de atores de ameaças financeiras do ano passado. Desde que surgiu em 2020, já fez milhares de vítimas e milhões em resgates, incluindo ataques cínicos a hospitais durante a pandemia.

A Esforço da Operação Cronos, envolvendo várias agências de aplicação da lei em todo o mundo, levou a interrupções nas plataformas afiliadas ao LockBit e à aquisição de seu site de vazamento pela Agência Nacional do Crime (NCA) do Reino Unido. As autoridades então usaram este último para fazer prisões, impor sanções, apreender criptomoedas e mais atividades relacionadas ao funcionamento interno do grupo. Eles também divulgaram o painel de administração do LockBit e expuseram os nomes dos afiliados que trabalham com o grupo.

Além disso, observaram que as chaves de desencriptação seriam disponibilizadas e revelaram que o LockBit, contrariamente às suas promessas às vítimas, nunca eliminava os dados das vítimas após os pagamentos terem sido feitos.

Ao todo, foi uma demonstração inteligente de força e acesso da comunidade policial, assustando outras pessoas no ecossistema logo após e levando à cautela quando se trata de trabalhar com qualquer versão reemergente do LockBit e seu líder, que atende pelo lidar com “LockBitSupp”.

Pesquisadores da Trend Micro observaram que, dois meses e meio após a Operação Cronos, há poucas evidências de que as coisas estejam mudando para o grupo – apesar das afirmações da LockBitSupp de que o grupo está voltando às operações normais.

Um tipo diferente de eliminação do crime cibernético

A Operação Cronos foi inicialmente recebida com ceticismo pelos pesquisadores, que apontaram que outras derrubadas recentes e de alto perfil de grupos RaaS como Black Basta, Conti, Colméia, e Royal (sem mencionar a infraestrutura para trojans de acesso inicial como Emotet, Qakbot, e TrickBot), resultaram apenas em contratempos temporários para seus operadores.

No entanto, o ataque da LockBit é diferente: a enorme quantidade de informações que as autoridades conseguiram acessar e tornar públicas prejudicou permanentemente a posição do grupo nos círculos da Dark Web.

“Embora muitas vezes eles se concentrem na destruição da infraestrutura de comando e controle, esse esforço foi além”, explicaram os pesquisadores da Trend Micro em uma análise divulgada hoje. “A polícia conseguiu comprometer o painel de administração do LockBit, expor afiliados e acessar informações e conversas entre afiliados e vítimas. Este esforço cumulativo ajudou a manchar a reputação da LockBit entre as afiliadas e a comunidade do crime cibernético em geral, o que tornará mais difícil o retorno.”

Na verdade, as consequências da comunidade do crime cibernético foram rápidas, observou a Trend Micro. Para um, LockBitSupp foi banido de dois fóruns clandestinos populares, XSS e Exploit, dificultando a capacidade do administrador de obter suporte e reconstruir.

Pouco depois, um usuário do X (anteriormente Twitter) chamado “Loxbit” alegou em uma postagem pública ter sido enganado pelo LockBitSupp, enquanto outro suposto afiliado chamado “michon” abriu um tópico de arbitragem no fórum contra o LockBitSupp por falta de pagamento. Um corretor de acesso inicial usando o identificador “dealfixer” anunciou seus produtos, mas mencionou especificamente que não queria trabalhar com ninguém da LockBit. E outro IAB, “n30n”, abriu uma reclamação no fórum ramp_v2 sobre perda de pagamento em torno da interrupção.

Talvez pior, alguns comentaristas do fórum ficaram extremamente preocupados com a grande quantidade de informações que a polícia conseguiu compilar, e alguns especularam que o LockBitSupp pode até ter trabalhado com as autoridades policiais na operação. LockBitSupp anunciou rapidamente que uma vulnerabilidade no PHP era a culpada pela capacidade da aplicação da lei de se infiltrar nas informações da gangue; Os habitantes da Dark Web simplesmente apontaram que o bug já existe há meses e criticaram as práticas de segurança do LockBit e a falta de proteção para afiliados.

“Os sentimentos da comunidade do crime cibernético em relação à interrupção do LockBit variaram da satisfação à especulação sobre o futuro do grupo, sugerindo o impacto significativo do incidente na indústria RaaS”, de acordo com a análise da Trend Micro, divulgada hoje.

O efeito inibidor da interrupção do LockBit na indústria de RaaS

Na verdade, a perturbação suscitou alguma autorreflexão entre outros grupos ativos de RaaS: um operador Snatch RaaS apontou no seu canal Telegram que todos estavam em risco.

“Perturbar e minar o modelo de negócios parece ter tido um efeito muito mais cumulativo do que executar uma remoção técnica”, segundo a Trend Micro. “Reputação e confiança são fundamentais para atrair afiliados, e quando estes são perdidos, é mais difícil fazer com que as pessoas retornem. A Operação Cronos conseguiu atacar um elemento mais importante do seu negócio: a sua marca.”

Jon Clay, vice-presidente de inteligência de ameaças da Trend Micro, disse à Dark Reading que a destruição do LockBit e o efeito inibidor da interrupção nos grupos RaaS em geral apresentam uma oportunidade para o gerenciamento de riscos de negócios.

“Este pode ser o momento para as empresas reavaliarem os seus modelos de defesa, pois poderemos observar uma desaceleração nos ataques enquanto estes outros grupos avaliam a sua própria segurança operacional”, observa ele. “Este também é o momento de revisar um plano de resposta a incidentes de negócios para garantir que todos os aspectos de uma violação sejam cobertos, incluindo continuidade da operação de negócios, seguro cibernético e a resposta – pagar ou não pagar.”

Os sinais de vida do LockBit são muito exagerados

Mesmo assim, o LockBitSupp está tentando se recuperar, descobriu a Trend Micro – embora com poucos resultados positivos.

Novos sites de vazamento do Tor foram lançados uma semana após a operação, e LockBitSupp disse no fórum ramp_v2 que a gangue está procurando ativamente IABs com acesso aos domínios .gov, .edu e .org, indicando uma sede de vingança. Não demorou muito para que inúmeras supostas vítimas começassem a aparecer no site do vazamento, começando pelo FBI.

No entanto, quando o prazo de pagamento do resgate chegou e passou, em vez de dados confidenciais do FBI aparecerem no site, o LockBitSupp postou uma longa declaração de que continuaria a operar. Além disso, mais de dois terços das vítimas consistiram em ataques recarregados que ocorreram antes da Operação Cronos. Dos demais, as vítimas pertenciam a outros grupos, como o ALPHV. Ao todo, a telemetria da Trend Micro revelou apenas um pequeno e verdadeiro cluster de atividade LockBit depois do Cronos, de uma afiliada no sudeste da Ásia que realizou um pedido de resgate baixo, de US$ 2,800.

Talvez o mais preocupante seja o fato de o grupo também estar desenvolvendo uma nova versão de ransomware – Lockbit-NG-Dev. A Trend Micro descobriu que ele tinha um novo núcleo .NET, o que permite que seja mais independente de plataforma; ele também remove os recursos de autopropagação e a capacidade de imprimir notas de resgate por meio das impressoras do usuário.

“A base de código é completamente nova em relação à mudança para esta nova linguagem, o que significa que provavelmente serão necessários novos padrões de segurança para detectá-la. Ainda é um ransomware funcional e poderoso”, alertaram os pesquisadores.

Ainda assim, estes são, na melhor das hipóteses, sinais de vida anêmicos para o LockBit, e Clay observa que não está claro para onde ele ou suas afiliadas podem ir em seguida. Em geral, alerta ele, os defensores precisarão estar preparados para mudanças nas táticas das gangues de ransomware no futuro, à medida que os participantes do ecossistema avaliam a situação.

“Os grupos RaaS provavelmente estão olhando para suas próprias fraquezas ao serem detectados pelas autoridades policiais”, explica ele. “Eles podem revisar os tipos de negócios/organizações que visam para não dar muita atenção aos seus ataques. Os afiliados podem ver como podem mudar rapidamente de um grupo para outro caso seu grupo RaaS principal seja derrubado.”

Ele acrescenta: “a mudança para apenas a exfiltração de dados em vez de implantações de ransomware pode aumentar, pois não atrapalha os negócios, mas ainda pode gerar lucros. Também poderíamos ver grupos RaaS mudando inteiramente para outros tipos de ataque, como comprometimento de email comercial (BEC), que não parecem causar tantas perturbações, mas ainda são muito lucrativos para seus resultados financeiros.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/lockbit-ransomware-takedown-strikes-brand-viability