Lockbit: grupo de ransomware volta a atacar mesmo após operação policial

A gangue de cibercriminosos LockBit, uma das mais perigosas do setor nos últimos meses, aparentemente voltou a atacar. Indícios de que o grupo está novamente infectando vítimas com ransomwares apareceram nas análises de empresas de segurança como a Zscaler.

O retorno é curioso por acontecer pouco mais de uma semana depois de uma operação policial de larga escala que resultou no desmantelamento de boa parte das atividades da gangue.

• Saiba mais: Polícia prende membros do grupo de ransomware LockBit e derruba servidores; veja

A ação conjunta, que envolveu até o FBI e a Europol, resultou no confisco de carteiras de criptomoedas, identificação de contas ligadas ao grupo e derrubada de dezenas de servidores. Além disso, ao menos dois integrantes foram presos na Polônia e na Ucrânia.

ThreatLabz has observed new #Lockbit ransomware attacks following the law enforcement takedown operation last week.

The latest ransom note can be found in our GitHub repo: https://t.co/rZdficpiRJ pic.twitter.com/hEIqJWrEGI

— Zscaler ThreatLabz (@Threatlabz) February 27, 2024

Pelo visto, entretanto, parte da estrutura segue operando e agora está em fase de reconstrução — com um retorno que não era esperado para acontecer tão perto do avanço das autoridades.

O retorno do LockBit

De acordo com o BleepingComputer, as páginas de negociação de pagamento de resgate também voltaram ao ar. Até o momento, não há informações sobre quem seriam as novas vítimas ou se alguma companhia já foi afetada pelo LockBit no retorno das operações.

A criptografia usada para sequestrar os arquivos dos servidores foi atualizada com novos códigos, já que as chaves de acesso foram liberadas após os acontecimentos da última semana. 

• Leia também: Ataques de ransomware cresceram em 2023, veja como se prevenir

O grupo também estaria contratando novos especialistas em cibersegurança para aprimorar os próprios serviços, o que significa que um eventual "LockBit 2.0" pode ser ainda mais nocivo do que o anterior.

A nova tela de aviso de que o servidor foi "sequestrado" pelo LockBit.

Ainda segundo o site, o tamanho da atual estrutura do LockBit após as ações policiais segue um mistério. Até o começo deste ano, cerca de 180 pessoas estariam ligadas à gangue — seja por envolvimento direto ou contratação da ferramenta de infecção de servidores. Entre as vítimas, estão a empresa de semicondutores TSMC, o banco brasileiro BRB e até mesmo um hospital infantil.

Há uma hipótese de que o grupo, na verdade, está se reorganizando para trocar de nome e continuar agindo usando outra identidade, já que isso aconteceu outras vezes com gangues após elas virarem alvo das autoridades.