A polícia prende membros do ransomware LockBit, libera decodificador em repressão global
20 de Fevereiro de 2024

As forças policiais prenderam dois operadores da gangue do ransomware LockBit na Polônia e na Ucrânia, criaram uma ferramenta de decodificação para recuperar arquivos criptografados gratuitamente e apreenderam mais de 200 carteiras de criptomoedas após hackear os servidores da gangue de crimes cibernéticos em uma operação internacional de repressão.

As autoridades judiciais francesas e dos EUA também emitiram três mandados de prisão internacionais e cinco acusações contra outros atores de ameaça do LockBit.

Duas das acusações foram apresentadas pelo Departamento de Justiça dos EUA contra dois russos, Artur Sungatov e Ivan Gennadievich Kondratiev (também conhecido como Bassterlord), por sua participação nos ataques do LockBit.

A repressão global ao LockBit foi coordenada pela Operação Chronos, uma força-tarefa dirigida pela Agência Nacional de Crimes do Reino Unido (NCA) e coordenada na Europa pela Europol e a Eurojust.

A investigação começou em abril de 2022 na Eurojust, após um pedido das autoridades francesas.

"A operação, que durou vários meses, resultou no comprometimento da plataforma principal do LockBit e em outras infraestruturas críticas que possibilitavam seus crimes", disse a Europol hoje.

"Isto inclui a derrubada de 34 servidores na Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido.

"Agora esta infraestrutura está sob o controle das autoridades policiais, e mais de 14 000 contas irregulares responsáveis pela exfiltração ou infraestrutura foram identificadas e indicadas para remoção pela polícia."

A Europol disse ao BleepingComputer que essas contas irregulares foram usadas pelos membros do LockBit para hospedar ferramentas e softwares usados nos ataques e para armazenar dados roubados das empresas.

Como parte da Operação Cronus, as autoridades policiais também recuperaram chaves de decodificação dos servidores do LockBit apreendidos.

Usando essas chaves de decodificação, a polícia japonesa, a NCA e o Federal Bureau of Investigation (FBI) desenvolveram uma ferramenta para decodificar o LockBit com o apoio da Europol.

Este decodificador gratuito agora está disponível no portal "No More Ransom".

O BleepingComputer entrou em contato com a Europol para saber se o decodificador só ajuda as vítimas do LockBit depois de uma determinada data, mas não houve uma resposta imediata.

Neste momento, não se sabe quanto de criptomoeda foi armazenado nas 200 carteiras apreendidas.

No entanto, pode ser possível para as vítimas que pagaram as exigências de resgate recuperar parte desses pagamentos agora, como o FBI fez anteriormente para o Colonial Pipeline e várias organizações de saúde.

A Europol diz que coletou uma "vasta quantidade" de dados sobre a operação do LockBit, que serão usados em operações contínuas para atacar os líderes do grupo, bem como seus desenvolvedores e aliados.

Como parte desta ação conjunta, a NCA assumiu o controle dos servidores do LockBit usados para hospedar dados roubados das redes de vítimas em ataques de extorsão dupla e os sites de vazamento do grupo na dark web.

Os sites obscuros do LockBit foram derrubados ontem, mostrando faixas de apreensão que revelaram que a interrupção resultou de uma ação internacional em andamento das autoridades policiais.

O painel de afiliados do grupo ransomware também foi apreendido pela polícia, agora mostrando uma mensagem aos afiliados depois que eles fazem login informando que suas informações, código-fonte do LockBit, chats e informações das vítimas também foram apreendidos.

"Temos o código-fonte, detalhes das vítimas que vocês atacaram, a quantidade de dinheiro extorquido, os dados roubados, chats, e muito, muito mais", lê-se na mensagem.

"Poderemos entrar em contato com vocês muito em breve.

Tenham um bom dia.

Saudações, Agência Nacional de Crimes do Reino Unido, FBI, Europol e a Força Tarefa de Repressão à Lei da Operação Cronos."

A operação ransomware-as-a-service (RaaS) do LockBit apareceu em setembro de 2019 e desde então tem sido vinculada a ou reivindicou ataques a várias organizações de alto perfil em todo o mundo, incluindo Boeing, Royal Mail do Reino Unido, gigante automotivo Continental e o Serviço de Receita Interna da Itália.

Em um comunicado conjunto divulgado em junho, as autoridades de segurança cibernética dos EUA e parceiros em todo o mundo estimaram que o LockBit extorquiu pelo menos 91 milhões de dólares de organizações dos EUA depois de tantos quanto 1.700 ataques desde 2020.

Mais recentemente, o Bank of America alertou os clientes sobre um vazamento de dados após o provedor de serviços terceirizado Infosys McCamish Systems (IMS) ter sido atacado em uma ação reivindicada pelo LockBit.

Outro suposto afiliado do LockBit foi preso em junho e acusado de implantar o ransomware nas redes das vítimas nos Estados Unidos e no exterior entre agosto de 2020 e março de 2023.

Nos últimos anos, as operações internacionais das forças policiais também levaram à apreensão de servidores e sites da dark web usados pelos ransomwares ALPHV (BlackCat) e Hive.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...