LockBit Restabelece Sua Plataforma com Invasões Anteriores Após Período de Inatividade
8 de Abril de 2024

O impacto da Operação Cronos segue prejudicando as atividades do grupo de ransomware LockBit, com a gangue começando a postar falsas alegações de vítimas em seu website de vazamento.

A operação conseguiu interromper as ações dos hackers em uma ação conduzida pela Divisão Cibernética da Agência Nacional do Crime (NCA) do Reino Unido, com a colaboração do FBI, e coordenada na Europa pela Europol e Eurojust.

Cerca de 80% das vítimas listadas no novo site de vazamento de dados do grupo são falsas, segundo um relatório recente da Trend Micro, uma importante empresa japonesa de cibersegurança que teve um papel ativo na operação policial que desmantelou a infraestrutura da LockBit em 19 de fevereiro.

Mais de dois terços das vítimas listadas (68%) são reenvios de ataques prévios à Operação Cronos, e 10% das vítimas pertencem a outros grupos de ransomware, notavelmente ALPHV/BlackCat e RansomHub.

A Trend Micro também identificou que 7% dos uploads feitos após a Operação Cronos foram prontamente deletados.

“14 vítimas ainda não foram divulgadas e não encontramos dados públicos que corroborem as datas reais dos ataques além das publicações no site da LockBit”, adicionou o relatório.

De acordo com essa análise, a Trend Micro sugere que a LockBit está tentando manipular seu novo site de vazamentos, preenchendo-o com dados falsos de vítimas para simular uma aparência de normalidade, como se o grupo estivesse operando plenamente.

Outras ações suspeitas, como a exclusão dos nomes das vítimas antes da finalização da contagem regressiva e o agrupamento de uploads de vítimas, também suportam esta teoria.

Como parte da Operação Cronos, a Trend Micro descobriu que, antes de ser desativado, os administradores da LockBit estavam desenvolvendo uma nova versão de ransomware agnóstica de plataforma denominada LockBit-NG-Dev – onde NG significa próxima geração.

Contudo, a desativação interrompeu os projetos de desenvolvimento, pois a LockBit precisou focar na reconstrução de sua infraestrutura.

Mesmo após a interrupção, o líder da LockBit — conhecido também como LockbitSupp — prometeu um retorno rápido, mas a capacidade dos afiliados do grupo para lançar novos ataques parece estar severamente comprometida.

O relatório da Trend Micro evidencia uma queda significativa no número de infecções reais ligadas ao grupo de ransomware após a Operação Cronos, com poucos ataques observados nas três semanas seguintes à interrupção.

Em fóruns de crimes cibernéticos, usuários que alegam ser afiliados à LockBit reclamaram das paralisações na infraestrutura do grupo antes mesmo do anúncio público da operação.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...