LockBit: o que se sabe sobre operação internacional que bloqueou pior grupo cibercriminoso do mundo

O LockBit e suas afiliadas causaram bilhões de dólares em prejuízos e extorquiram dezenas de milhões de dólares em resgates de suas vítimas. Bancos, serviços postais e até hospitais estão entre os seus alvos.

Identificado pela primeira vez em janeiro de 2020, o LockBit era o grupo de ransomware (software malicioso usado para extorsão por meio de sequestro de dados digitais usando a criptografia) mais ativo do mundo.

A técnica usada pelo grupo era a de bloquear dados e exigir um resgate para desbloqueá-los. Se recusado, os dados eram revendidos na dark web.

Em vez de executar uma operação criminosa massiva, o LockBit disponibilizou seu malware para seus afiliados – hackers independentes que pagavam ao grupo uma porcentagem dos resgates obtidos. Este sistema é conhecido como “ransomware sob demanda” (ou “Raas”, “Ransomware as a Service” em inglês).

Dessa maneira, o LockBit lucrava via pagamentos iniciais e assinaturas, ou recuperava parte do resgate obtido, segundo a Agência Americana de Cibersegurança (CISA).

O LockBit operava em vários locais e especialistas em segurança cibernética afirmam que seus membros falam russo.

Ao contrário de outros grupos de hackers e cibercriminosos, o LockBit se apresentava como uma empresa profissional, solicitando feedback de suas afiliadas e fazendo melhorias em seu ransomware.

"O LockBit opera como um negócio. Eles sabem - ou pelo menos sabiam - como administrar seus negócios, o que lhes permitiu se sustentar diante de outras operações do mesmo tipo", explicou à AFP Brett Callow, analista da Emsisoft, uma empresa de segurança.

O que representa essa operação?

Na terça-feira, uma operação conjunta de 10 países, liderada pela British Crime Agency (NCA), do Reino Unido, interrompeu os serviços da LockBit “em todos os níveis”, através da “Operação Cronos”.

A Europol afirmou que 34 servidores na Europa, Austrália, Estados Unidos e Grã-Bretanha foram desativados e 200 contas de criptomoedas vinculadas ao LockBit foram congeladas.

A NCA disse que a ação comprometeu “todo o empreendimento criminoso”. “Isso provavelmente significa o fim da marca LockBit. A operação foi comprometida e outros cibercriminosos não vão querer mais trabalhar com eles”, acredita Callow.

Mas, nos últimos anos, especialistas em segurança cibernética também detectaram grupos de ransomware que suspenderam suas operações após ações policiais, e reapareceram com outros nomes.

"Nosso trabalho não para aqui. A LockBit pode tentar reconstruir seu empreendimento criminoso", alertou Graeme Biggar, executivo-chefe da NCA, em comunicado.

Negócio lucrativo

Em 2023, os valores pagos pelas vítimas de ransomware ultrapassaram, pela primeira vez, US$ 1 bilhão, segundo dados publicados em fevereiro pela empresa americana Chainalysis, especialista no estudo de transações de criptomoedas.

Os Estados Unidos registraram mais de 1.700 ataques LockBit desde 2020 e mais de US$ 91 milhões em resgates foram pagos até meados de 2023. Na França, o LockBit esteve na origem de 27% dos pedidos de resgate em 2022 e 2023.

Pagar resgates incentivou os cibercriminosos. “Inundado de dinheiro, o ecossistema de ransomware cresceu em 2023, ao mesmo tempo que continuavam a evoluir suas táticas”, argumentou a empresa de segurança cibernética MalwareBytes num relatório publicado em fevereiro.

“O número de ataques conhecidos aumentou 68%, o valor médio pago pelas vítimas disparou e o maior pedido de resgate do ano atingiu incríveis US$ 80 milhões”, afirmou a empresa.

Este pedido de resgate milionário foi feito após um ataque LockBit paralisar o grupo postal britânico, Royal Mail, durante semanas.

Quem são as vítimas do LockBit?

As vítimas correspondem a uma ampla gama, desde indivíduos e pequenas empresas até grandes corporações.

Segundo o MalwareBytes, este malware foi usado “mais que o dobro de seu principal concorrente em 2023”.

Em novembro de 2023, a LockBit atacou a filial americana do Banco Industrial e Comercial de Serviços Financeiros da China (ICBC FS), uma das maiores instituições financeiras do mundo. A gigante americana da aeronáutica Boeing também está entre os alvos do LockBit.

Em 2022, hospitais na França e no Canadá foram visados, afetando suas atividades e, muitas vezes, forçando-os a transferir pacientes para outras instalações. 

​“Embora os desenvolvedores do LockBit tenham estabelecido regras estipulando que seu ransomware não deve ser usado contra infraestruturas críticas, está claro que suas afiliadas ignoram isso”, escreveu Stacey Cook, analista da empresa americana de segurança cibernética Dragos, em um relatório publicado em 2023. “Os desenvolvedores do LockBit não parecem estar muito preocupados com a responsabilidade de suas afiliadas”, disse.