O impacto da Operação Cronos segue prejudicando as atividades do grupo de ransomware LockBit, com a gangue começando a postar falsas alegações de vítimas em seu website de vazamento.
A operação conseguiu interromper as ações dos hackers em uma ação conduzida pela Divisão Cibernética da Agência Nacional do Crime (NCA) do Reino Unido, com a colaboração do FBI, e coordenada na Europa pela Europol e Eurojust.
Cerca de 80% das vítimas listadas no novo site de vazamento de dados do grupo são falsas, segundo um relatório recente da Trend Micro, uma importante empresa japonesa de cibersegurança que teve um papel ativo na operação policial que desmantelou a infraestrutura da LockBit em 19 de fevereiro.
Mais de dois terços das vítimas listadas (68%) são reenvios de ataques prévios à Operação Cronos, e 10% das vítimas pertencem a outros grupos de ransomware, notavelmente ALPHV/BlackCat e RansomHub.
A Trend Micro também identificou que 7% dos uploads feitos após a Operação Cronos foram prontamente deletados.
“14 vítimas ainda não foram divulgadas e não encontramos dados públicos que corroborem as datas reais dos ataques além das publicações no site da LockBit”, adicionou o relatório.
De acordo com essa análise, a Trend Micro sugere que a LockBit está tentando manipular seu novo site de vazamentos, preenchendo-o com dados falsos de vítimas para simular uma aparência de normalidade, como se o grupo estivesse operando plenamente.
Outras ações suspeitas, como a exclusão dos nomes das vítimas antes da finalização da contagem regressiva e o agrupamento de uploads de vítimas, também suportam esta teoria.
Como parte da Operação Cronos, a Trend Micro descobriu que, antes de ser desativado, os administradores da LockBit estavam desenvolvendo uma nova versão de ransomware agnóstica de plataforma denominada LockBit-NG-Dev – onde NG significa próxima geração.
Contudo, a desativação interrompeu os projetos de desenvolvimento, pois a LockBit precisou focar na reconstrução de sua infraestrutura.
Mesmo após a interrupção, o líder da LockBit — conhecido também como LockbitSupp — prometeu um retorno rápido, mas a capacidade dos afiliados do grupo para lançar novos ataques parece estar severamente comprometida.
O relatório da Trend Micro evidencia uma queda significativa no número de infecções reais ligadas ao grupo de ransomware após a Operação Cronos, com poucos ataques observados nas três semanas seguintes à interrupção.
Em fóruns de crimes cibernéticos, usuários que alegam ser afiliados à LockBit reclamaram das paralisações na infraestrutura do grupo antes mesmo do anúncio público da operação.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...