O impacto do bloqueio ao grupo de ransomware LockBit

Pesquisadores da empresa apontam que o LockBit foi o grupo de ransomware mais dominante em 2023, de acordo com o número de vítimas extorquidas e incluindo mais de 1.000 organizações

Gráfico da Check Point Software sobre Grupos de Ransomware

O LockBit é um grupo de Ransomware como Serviço (RaaS) que está ativo desde setembro de 2019. Ao operar como “provedor” de RaaS, ele fornece infraestrutura para outros cibercriminosos, conhecidos como afiliados, que então realizam seus ataques. Isso permite que o LockBit escale suas operações e atinja um maior número de vítimas. O LockBit também implementa a técnica de "dupla extorsão" em ataques de ransomware, que envolve a publicação dos dados roubados a menos que um resgate seja pago.

Segundo os especialistas da Check Point Software, fornecedora global de soluções de cibersegurança na nuvem baseadas em IA, durante o ano de 2023, o grupo de ransomware mais dominante em termos do número de vítimas extorquidas foi o LockBit, com mais de 1.000 organizações afetadas no mundo. Os países mais impactados por esse grupo são os Estados Unidos, Reino Unido, França, Alemanha e Canadá. Além disso, os setores mais atacados são manufatura  (quase 25% das vítimas) e o varejo.

Nas últimas semanas, o suporte do LockBit foi envolvido em uma importante disputa em um fórum clandestino russo de grande relevância, sendo proibido de realizar qualquer atividade nele devido a questões éticas duvidosas. Isso resultou em uma interrupção significativa das operações do grupo RaaS, devido à proibição nos dois principais fóruns de hacking russos.

Os especialistas presumem que a combinação desses dois fatores terá um grande impacto nas operações do LockBit, especialmente em termos de reputação, e causará dificuldades significativas para recrutar e manter afiliados que operem esse ransomware. Geralmente, esses grupos tão populares não desaparecem completamente, então é possível que se espere algum tipo de “rebranding” (reformulação).

"É um momento difícil para o LockBit, que recentemente foi removido de dois fóruns russos de cibercrime devido à sua ética empresarial questionável. Essa última ação das autoridades do Reino Unido e dos Estados Unidos será um golpe duro para suas operações e provavelmente afetará sua capacidade de recrutar e manter afiliados”, diz Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software Technologies.

“No entanto, como vimos no passado, os grupos de ransomware são muito resilientes e podem ressurgir sob uma identidade diferente em pouco tempo. A ameaça deste grupo de cibercriminosos e de outros grupos de ransomware continuará, e as empresas devem estar sempre alertas", explica Sergey Shykevich, ao saber das notícias de que a National Crime Agency (NCA) do Reino Unido e outras agências e autoridades policiais internacionais assumiram o controle dos serviços do LockBit e comprometeram sua operação criminosa.

Principais grupos de ransomware em janeiro de 2024

Os pesquisadores da Check Point Software avaliaram em janeiro as informações derivadas de mais de 200 “sites da vergonha” (“shame sites”), ou seja, sites de difamação administrados por grupos de ransomware de dupla extorsão, 68 dos quais postaram os nomes e informações das vítimas este ano.

Os cibercriminosos usam esses sites para pressionar as vítimas que não pagam o resgate imediatamente. Os dados desses sites de difamação carregam seus próprios preconceitos, mas ainda fornecem informações valiosas sobre o ecossistema de ransomware, que atualmente é o risco número um às organizações.

No mês passado, o LockBit3 foi o ransomware de maior destaque, responsável por 20% dos ataques realizados, seguido pelo 8Base com 10% e pelo Akira com 9%.

1.LockBit3 é um ransomware que opera em um modelo RaaS e foi relatado pela primeira vez em setembro de 2019. O LockBit3 tem como alvo grandes empresas e entidades governamentais de vários países e não tem como alvo indivíduos na Rússia ou na Comunidade de Estados Independentes.

2.8base – O grupo de ameaças 8Base é uma gangue de ransomware que está ativa pelo menos desde março de 2022. Ganhou notoriedade significativa em meados de 2023 devido a um aumento em suas atividades. Este grupo foi observado usando uma série de variantes de ransomware, sendo Phobos um elemento comum. A 8Base opera com um nível de sofisticação, evidenciado pelo uso de técnicas avançadas em seu ransomware. Os métodos do grupo incluem táticas de dupla extorsão.

3.Akira Ransomware, relatado pela primeira vez no início de 2023, tem como alvo sistemas Windows e Linux. Ele usa criptografia simétrica com CryptGenRandom e Chacha 2008 para criptografia de arquivos e é semelhante ao ransomware Conti v2 que vazou. O Akira é distribuído por vários meios, incluindo anexos de e-mail infectados e explorações em endpoints de VPN. Após a infecção, ele criptografa os dados e anexa uma extensão “[.] akira" nos nomes dos arquivos e, em seguida, apresenta uma nota de resgate exigindo pagamento pela descriptografia.