Hoje, o ransomware LockBit é a organização criminosa virtual mais ativa e bem-sucedida do mundo.
Atribuído a um ator ameaçador russo, o LockBit saiu das sombras do grupo de ransomware Conti, que foi dissolvido no início de 2022.
O ransomware LockBit foi descoberto pela primeira vez em setembro de 2019 e era conhecido anteriormente como ransomware ABCD por causa da extensão ".abcd virus" observada pela primeira vez.
O LockBit opera como um modelo de Ransomware-as-a-service (RaaS).
Em resumo, isso significa que afiliados fazem um depósito para usar a ferramenta e, em seguida, dividem o pagamento do resgate com o grupo LockBit.
Foi relatado que alguns afiliados estão recebendo uma participação tão alta quanto 75%.
Os operadores do LockBit postaram anúncios para seu programa de afiliados em fóruns criminosos em língua russa, afirmando que não operarão na Rússia ou em nenhum país da CEI, nem trabalharão com desenvolvedores de língua inglesa, a menos que um "garantidor" de língua russa os garanta.
Os vetores de ataque iniciais do LockBit incluem engenharia social, como phishing, spear phishing e comprometimento de e-mails comerciais (BEC), explorando aplicações voltadas para o público, contratando intermediários de acesso inicial (IABs) e usando credenciais roubadas para acessar contas válidas, como protocolo de desktop remoto (RDP), bem como ataques de crack de força bruta.
Durante o webinar Global Threat Forecast do ano passado, hospedado pelo SecurityHQ, identificamos o LockBit como uma ameaça significativa e destacamos-os como um ator ameaçador para prestar muita atenção em 2022.
O LockBit tem focado em ataques a entidades governamentais e empresas em uma variedade de setores, como saúde, serviços financeiros e bens e serviços industriais.
O ransomware tem sido observado atacando países em todo o mundo, incluindo EUA, China, Índia, Indonésia, Ucrânia, França, Reino Unido e Alemanha.
Outra característica interessante do LockBit é que ele é programado de tal forma que não pode ser usado em ataques contra a Rússia ou países da CEI (Comunidade dos Estados Independentes).
Isso provavelmente é uma medida de precaução tomada pelo grupo para evitar qualquer retaliação potencial do governo russo.
Por meio da análise de dados do site de vazamentos, conseguimos obter uma imagem real de quantos ataques bem-sucedidos o LockBit havia feito.
Em 2022, o grupo publicou mais ataques bem-sucedidos do que qualquer outro grupo de ransomware.
Mapeamos a atividade do LockBit durante todo o ano em comparação com outros grupos de ransomware conhecidos.
Você pode ver o declínio do Conti à medida que o grupo começou a encerrar as operações.
No entanto, agora é relatado que membros do grupo de ransomware Conti estão operando nos grupos de ransomware BlackBasta, BlackByte e Karakurt.
O gráfico abaixo demonstra o quão ativo o LockBit foi durante 2022, em comparação com outros grupos de ransomware.
Uma das características únicas do LockBit é seu programa de recompensa por falhas para seus construtores e compiladores de ransomware.
O grupo oferece uma recompensa de US $1 milhão para quem puder expor publicamente a identidade de seus proprietários.
Isso é uma quantia significativa e mostra o quão sério o LockBit é sobre manter sua anonimidade.
Recentemente, o grupo foi vinculado a um ataque à Royal Mail no Reino Unido.
No entanto, o LockBit negou qualquer envolvimento no ataque, afirmando que foi realizado por um afiliado.
Isso não é incomum para grupos de ransomware, já que frequentemente usam afiliados para realizar ataques a fim de se distanciar das consequências.
No geral, o grupo de ransomware LockBit é uma organização criminosa virtual formidável e sofisticada que representa uma ameaça significativa para empresas e organizações em todo o mundo.
Com um modelo de ransomware-as-a-service bem estabelecido, um programa de recompensa por falhas e disposição para recompensar aqueles que revelam suas identidades, o LockBit é uma força a ser reconhecida no cenário de ameaças.
O Ransomware-as-a-service (RaaS) ganhou popularidade nos últimos anos.
RaaS refere-se a um tipo de modelo de negócios em que os operadores de ransomware fornecem o malware e as ferramentas para outras pessoas ou grupos de crime organizado para realizar ataques de ransomware, em troca de uma parte do pagamento do resgate.
Isso permite que até mesmo indivíduos com habilidades técnicas menos qualificadas participem de ataques de ransomware, aumentando o número de ataques e tornando mais difícil rastrear e capturar os atacantes.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...