Estima-se que o grupo LockBit seja responsável por 25% de todos os ataques ransomware a nível mundial, no ano passado, e tenha lucrado mais de 110 milhões de euros com cerca de duas mil vítimas
Um dos principais grupos cibercriminosos do mundo sofreu um forte revés, nas últimas horas, depois uma operação conjunta entre o FBI, a Europol e a Agência Nacional de Crime (NCA) britânica ter apreendido o “o centro de comando e controlo” do grupo LockBit na dark-web. Esta operação já levou à detenção de quatro dos seus membros e as autoridades alertam que não vão ficar por aqui. Estima-se que o grupo seja responsável por 25% de todos os ataques ransomware a nível mundial, no ano passado.
"Graças à nossa estreita colaboração, conseguimos hackear os hackers, controlar as suas infraestruturas, apreender o seu código-fonte e obter as chaves que ajudarão as vítimas a desencriptar os seus sistemas", explicou Graeme Biggar, diretor-geral da NCA.
E a quantidade de dados obtidos pelas autoridades está a produzir resultados. De acordo com a Europol, dois indivíduos ligados ao grupo foram detidos na Polónia e na Ucrânia. Outros dois foram detidos nos Estados Unidos da América. Além disso, os nomes de outros dois suspeitos foram tornados públicos. Tratam-se de dois cidadãos russos que se encontram foragidos. A operação levou também as autoridades a obter vastas quantidades de informação ligadas à estrutura do grupo. Ao todo, 200 contas de criptomoedas ligadas a ações criminosas foram congeladas.
Mas as ações das autoridades não vão ficar por aqui. Suspeita-se que muitos dos membros do grupo sejam russos e o líder da NCA garante que muita da informação obtida pela polícia vai permitir localizar os principais membros do grupo. “Não vamos parar os nossos esforços para os atingir e perseguir nos próximos meses e anos”, garantiu Biggar, que admitiu que o ataque contra a infraestrutura do grupo permitiu obter chaves de desencriptação, bem como informação específica acerca de crimes que foram cometidos no passado.
Apesar de as autoridades não terem explicado oficialmente como conseguiram aceder à rede do grupo, a polícia poderá ter obtido acesso aos sistemas do LockBit através de uma falha de segurança no código PHP, que é utilizado para fazer o site, de acordo com o grupo de investigação vx-underground, que cita uma mensagem enviada pelo grupo. A exploração desta vulnerabilidade permitiu aos investigadores acederam aos sistemas do grupo e tomar o seu controlo.
"Podemos vir a ter um efeito dominó. Estes criminosos muitas vezes trabalham para vários grupos e podem ser utilizados pelas autoridades para se infiltrarem em noutras organizações", considera Nuno Mateus-Coelho, especialista em cibersegurança, que admite que algo semelhante possa ter acontecido neste caso.
A Europol partilhou uma mensagem semelhante. Em declarações à imprensa, Jean-Philippe Lecouffe admite que nem todos os membros foram detidos, mas este é “um processo de longo prazo” as autoridades estão preparadas para “esperar” até que estes indivíduos se encontrem em jurisdições que permitam as suas detenções. Na conferência de imprensa realizada na terça-feira onde anunciaram os detalhes da operação, as autoridades revelaram que acreditam que o grupo é responsável por 25% de todos os ataques ransomware a nível global.
"Estas entidades como o grupo LockBit são grupos maliciosos que têm uma magnitude gigantesca. Os membros destes grupos não querem saber se estão a atacar um hospital, se estão a atacar uma escola ou até uma morgue. Querem dinheiro, apenas", explica Nuno Mateus-Coelho.
Um gigante do cibercrime
O grupo LockBit, que se suspeita ter origem russa, tem vindo a ganhar reputação pela quantidade de danos que tem vindo a causar nos últimos anos a organizações de todo o mundo. O LockBit surgiu em 2019 e, desde então, desenvolveu um modelo de negócio em que permitia alugar o seu ransomware a troco de dinheiro. Este processo é conhecido como ransomware-as-a-service (RaaS) e permitia a encriptação de dados de uma rede ou de uma organização a troco de dinheiro. Esta metodologia permitiu ao grupo escalar as suas operações e atingir um maior número de vítimas.
O LockBit utiliza também uma técnica conhecida como extorsão dupla, que passa pela publicação dos dados roubados no seu "blogue da vergonha", se o resgate não for pago. O grupo prometia que os dados seriam apagados caso o resgate fosse pago, mas a investigação prova o contrário. De acordo com os investigadores foram encontradas cópias dos dados de empresas que pagaram os seus resgates. "Os criminosos que gerem o LockBit são sofisticados e altamente organizados”, admite a polícia britânica.
De acordo com a empresa de cibersegurança Check Point Software Technologies, o grupo LockBit é responsável por 22% de todos os ataques de ransomware de “extorsão dupla”, no que toca ao número de vítimas. O grupo de investigadores do Recorded Future atribui a responsabilidade de mais de 2.300 ataques ao grupo, apenas no ano passado. O grupo cobrava uma comissão de 20% a todos os clientes por cada resgate pago. Estima-se que tenham obtido mais de 110 milhões de euros em pagamentos de resgate que terão lesado cerca de duas mil vítimas.
A larga maioria das vítimas deste grupo é norte-americana, com 396 empresas americanas a serem afetadas pelo ransomware do grupo. Segue-se o Reino Unido com 65 vítimas, a França com 51 e a Alemanha com 43. Em 2023, sete organizações portuguesas foram alvo do LockBit. Os setores mais afetados são a indústria transformadora e o retalho.
Um dos ataques mais mediáticos do grupo contra organizações portuguesas foi ao Porto de Lisboa, no dia 25 de dezembro de 2022. O grupo de piratas informáticos obteve dados pessoais de funcionários e clientes, relatórios financeiros, auditorias, contratos e correspondência eletrónica, exigindo o pagamento de 1,4 milhões de euros em bitcoin para que estes não fossem tornados públicos. O grupo acabou por tornar os dados públicos. Entre outras vítimas do grupo em Portugal estão as Águas do Porto, a rede de transportes públicos de Coimbra e até mesmo a Câmara Municipal do Vimioso.
No estrangeiro o grupo atingiu diversas unidades de saúde, particularmente no Canadá, onde imobilizou o maior hospital pediátrico do país, e nos Estados Unidos, onde atingiu vários hospitais, levando ao cancelamento de inúmeras consultas.
Um negócio extremamente lucrativo
Esta operação reforça a intensificação das autoridades internacionais no combate aos principais grupos de ransomware, que têm causado milhões de euros em danos e disrupções a empresas de quase todos os setores. Recorde-se que, no ano passado, o FBI e outras agências mandaram abaixo a infraestruturas e desmantelaram alguns dos principais grupos de ransomware, como o Qakbot e o Ragnar Locker, responsável pelo ataque contra a companhia aérea portuguesa TAP, em 2022. Apesar destas detenções, a economia ligada ao ransomware não para de crescer. No último ano, cibercriminosos conseguiram extorquir 1,1 mil milhões de dólares (mais de mil milhões de euros) em resgates, de acordo com a empresa Chainalysis.
"O ransomware é extramamente lucrativo e, por isso, vai continuar a crescer. Particularmente por existirem nações, como é o caso da Rússia, que não detêm estas pessoas", garante Nuno Mateus-Coelho.
Durante o último mês, o grupo teve um grande revés em alguns dos principais fórums clandestinos russos e acabou por ser banido de qualquer atividade lá, devido à “ética comercial questionável”, explica a CheckPoint. Este contratempo, conjugado com o impacto do desmantelamento da rede do grupo, deverá ter um forte impacto nas operações do grupo a curto-prazo.
“Presumimos que a combinação destes dois fatores terá um grande efeito nas operações da LockBit, especialmente no aspeto da reputação, e causar-lhes-á dificuldades significativas para recrutar e manter os afiliados que irão operar este ransomware. Na maior parte dos casos, estes grupos bem sucedidos não desaparecem, pelo que podemos esperar algum tipo de rebranding”, refere o grupo.
Esta ideia é partilhada por Nuno Mateus-Coelho, que acredita que nos próximos meses vai existir "uma grande acalmia" e o número de ataques ransomware vai "descer significativamente", uma vez que os membros do grupo desconhecem se foram identificados ou não pelas autoridades. No entanto, o especialista acredita que estes membros podem "voltar em jeito de vingança" fragmentando-se em novos grupos.
"A partir de hoje, o LockBit está bloqueado. Prejudicámos a capacidade e, sobretudo, a credibilidade de um grupo que dependia do secretismo e do anonimato", frisa Biggar.
