LockBit Caído: 5 Ameaças de Ransomware que o Substituirão

Principais Conclusões

  • As ações das autoridades de segurança desmantelaram a infraestrutura e a rede de afiliados do LockBit, mas outros grupos de ransomware estão preparados para assumir o seu lugar.
  • As entidades envolvidas na desarticulação do LockBit começaram a disponibilizar ferramentas de descriptografia para as vítimas, embora a recuperação não seja garantida.
  • Apesar do fim do LockBit, novos grupos de ransomware estão a emergir, com cinco ameaças notáveis prontas para preencher o vazio deixado.

Nos últimos anos, o LockBit consolidou-se como uma das gangues de ransomware mais proeminentes, extorquindo centenas de milhões de dólares e causando perdas de dados massivas.

Contudo, esforços conjuntos de aplicação da lei comprometeram significativamente a infraestrutura do LockBit, desativando o seu site e expondo a sua rede de afiliados e ativos em criptomoedas. Infelizmente, isto não significa o fim do ransomware, pois existem outras variantes à espera de ocupar o espaço vago.

O Que É o Ransomware LockBit?

O ransomware é uma forma de malware particularmente perigosa, que bloqueia o acesso ao seu sistema e exige um resgate para restaurar o acesso aos seus dados.

LockBit é o nome de um grupo criminoso responsável pela gestão, operação e disseminação do ransomware de mesmo nome. O ransomware LockBit tornou-se notório por atingir milhares de empresas, organizações e indivíduos em todo o mundo, gerando potencialmente bilhões de dólares em ganhos.

A característica de autopropagação do LockBit torna-o especialmente ameaçador, pois é capaz de se espalhar por conta própria, diferenciando-se de outras formas de ransomware. Esta capacidade dificulta a prevenção de ataques, uma vez que o ransomware identifica alvos vulneráveis sem necessidade de interação humana.

Adicionalmente, o grupo LockBit atualiza regularmente o seu ransomware, introduzindo novas funcionalidades e ajustando o seu desempenho, de forma a mitigar ameaças à sua eficácia. LockBit 3.0 foi a mais recente atualização significativa, lançada em junho de 2022.

O Que Aconteceu ao LockBit?

Em 19 de fevereiro de 2024, autoridades policiais, incluindo o FBI, a Agência Nacional do Crime do Reino Unido e a Europol, divulgaram que uma operação conjunta desmantelou significativamente a organização LockBit.

A “Operação Cronos” impediu os proprietários e afiliados do LockBit (que operava uma rede de afiliados usando o seu ransomware num modelo de ransomware como serviço) de aceder à sua própria rede, desativando aproximadamente 11.000 domínios e servidores. Dois programadores do LockBit foram detidos, juntamente com outros utilizadores afiliados.

De acordo com a CISA, os ataques do LockBit foram responsáveis por mais de 15% de todos os ataques de ransomware nos EUA, Reino Unido, Canadá, Austrália e Nova Zelândia em 2022, um valor considerável. Com o controlo da conta e plataforma de administração principal do LockBit sob custódia das autoridades, a sua capacidade de coordenar a sua rede ficou praticamente neutralizada.

Quando Estarão Disponíveis as Ferramentas de Descriptografia do LockBit?

Agindo rapidamente, algumas das entidades envolvidas na desarticulação do LockBit já começaram a disponibilizar ferramentas e chaves de descriptografia às vítimas.

  • EUA/FBI: Contacte o FBI para obter as chaves através do site Vítimas LockBit
  • Reino Unido/NCA: Contacte a NCA para obter as chaves através deste email: [email protected]
  • Outros/Europol, Polícia (NL): Siga as instruções para a descriptografia do Lockbit 3.0 em No More Ransom

Não é garantido que recupere com sucesso os seus ficheiros encriptados, mas vale a pena tentar, especialmente porque o LockBit nem sempre fornecia a chave de descriptografia correta, mesmo após o pagamento do resgate.

5 Tipos de Ransomware Que Vão Substituir o LockBit

O LockBit foi responsável por uma quantidade substancial de ataques de ransomware, mas não é o único grupo a operar. A inatividade do LockBit poderá gerar uma janela de oportunidade para outros grupos de ransomware. Dito isto, eis cinco tipos de ransomware a ter em atenção:

  • ALPHV/BlackCat: Outro modelo de ransomware como serviço, o ALPHV/BlackCat comprometeu centenas de organizações em todo o mundo. É especialmente notável por ser um dos primeiros tipos de ransomware escrito na linguagem de programação Rust, o que lhe permite atingir tanto hardware Windows como Linux.
  • Cl0p: A organização Cl0p está ativa desde pelo menos 2019 e estima-se que tenha extorquido mais de 500 milhões de dólares em resgates. O Cl0p normalmente exfiltra dados confidenciais, que são posteriormente usados para pressionar as vítimas a pagarem um resgate, tanto para libertar os dados encriptados como para impedir a fuga de informações confidenciais.
  • Play/PlayCrypt: Um dos tipos de ransomware mais recentes, o Play (também conhecido como PlayCrypt) surgiu em 2022 e distingue-se pela sua extensão de ficheiro “.play” utilizada durante os ataques. Tal como o Cl0p, o grupo Play também é conhecido por usar táticas de dupla extorsão e explorar uma vasta gama de vulnerabilidades para expor as suas vítimas.
  • Royal: Embora o Royal opere um modelo de ransomware como serviço, não partilha as suas informações e código como outros grupos. No entanto, como outros grupos, o Royal utiliza táticas de multiextorsão, roubando dados e utilizando-os para obter resgates.
  • 8Base: O 8Base surgiu subitamente em meados de 2023, apresentando um aumento na atividade de ransomware, incluindo diversos tipos de extorsão, e tendo também ligações a outros grupos de ransomware, como o RansomHouse.

Malwarebytes

Pesquisa da Malwarebytes demonstra que, embora o LockBit tenha sido uma das formas mais prolíficas de ransomware, os dez grupos de ransomware mais importantes são responsáveis por 70% de todos os ataques. Por isso, mesmo sem o LockBit, o ransomware continua a ser uma ameaça.

O LockBit Ransomware Está Completamente Desativado?

Apesar da notícia promissora sobre a desarticulação do LockBit, não, o ransomware LockBit não está completamente extinto. A Ars Technica relata novos ataques LockBit nos dias seguintes à desativação dos servidores, devido a várias razões.

Primeiramente, embora a infraestrutura do LockBit tenha sido desativada, isso não significa que o código do ransomware tenha desaparecido. Uma versão do código-fonte do LockBit foi divulgada em 2022, e pode ser esta a razão dos novos ataques. Além disso, o LockBit possuía uma rede vasta que se estendia por vários países. Embora o seu centro de operações estivesse sediado na Rússia, uma organização desta magnitude e sofisticação tem certamente backups e formas de regressar à atividade, ainda que demore algum tempo a reconstruir-se.

Sem dúvida, ainda não vimos o último do ransomware LockBit.