Lumu Technologies alerta para iminente retorno do Lockbit

Grupo cibercriminoso em operação desde setembro de 2019, o LockBit, rede de ransomware mais prolífica do mundo e responsável por ataques a uma ampla gama de organizações, incluindo empresas, agências governamentais e prestadores de serviços de saúde, foi alvo nesta semana de uma operação internacional conjunta que resultou em prisões e no desmantelamento da infraestrutura online do grupo – o Brasil aparece entre os países que mais sofrem ataques de LockBit. Em maio do ano passado, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) chegou a emitir um alerta sobre o aumento de ações envolvendo o ransomware no país.

A investida contra a gangue prejudicou sua capacidade de ataque e liberou chaves de descriptografia, permitindo que centenas de vítimas recuperassem o acesso aos seus dados bloqueados. A estimativa é que a ação tenha evitado o pagamento de mais de US$ 120 milhões em resgates. No entanto, de acordo com os especialistas da empresa de cibersegurança Lumu Technologies, não está claro se todas as principais infraestruturas do grupo foram capturadas e se parceiros inativos ainda podem representar uma ameaça.

“A história sugere que mesmo grandes quedas raramente são permanentes. Como visto no caso do Qakbot, os grupos criminosos costumam reconstruir ou reformular a marca, muitas vezes aproveitando a infraestrutura ou parcerias existentes”, alerta German Patiño, vice-presidente de vendas da Lumu Technologies para a América Latina.

“A equipe LockBit pode tentar voltar à ativa com um nome diferente ou por meio de afiliados que não foram diretamente afetados. Os principais desenvolvedores ou parceiros podem transferir as operações para infraestruturas novas e mais robustas, com técnicas adaptadas de disseminação e exploração ou visando diferentes perfis de vítimas, tornando mais difícil para as autoridades o seu rastreio”, completa o executivo. Dois dias após a ação contra o grupo, a quadrilha já havia disponibilizado um site backup com todas as informações vazadas.

Operação de ransomware como serviço (RaaS) que emprega um arsenal diversificado de vetores de infecção para se infiltrar nos sistemas, o LockBit criptografa os arquivos no computador da vítima, tornando-os inacessíveis. A partir daí, os invasores exigem o pagamento de um resgate em criptomoeda em troca da descriptografia. Se a vítima não paga, os invasores ameaçam excluir os arquivos ou divulgá-los.

“Neste momento, as organizações e os usuários precisam permanecer vigilantes, praticar uma boa higiene de cibersegurança e denunciar atividades suspeitas às autoridades. As recomendações práticas incluem a implementação de monitoramento de rede aprimorado, trabalhar em um plano robusto de respostas a incidentes, aproveitar os recursos de SecOps para monitorar e responder ativamente às ameaças, educar as equipes de colaboradores sobre os riscos de e-mails de phishing, que são um método de entrega comum do Lockbit Ransomware, além de reduzir a superfície de ataque, adotando controles de acesso rigorosos”, pontua Patiño.

Ainda que a remoção do LockBit represente uma conquista significativa na luta contra o ransomware, destaca o especialista da Lumu Technologies, ela também serve como um lembrete da ameaça persistente e em evolução representada pelos cibercriminosos. “A melhoria contínua das práticas de cibersegurança, juntamente com a cooperação internacional e a partilha de informações, continuam a ser cruciais para mitigar estas ameaças. Cada ataque e cada contra-ataque contém lições para o futuro cenário da cibersegurança. Para combater eficazmente o ransomware e o cibercrime estas lições devem ser levadas a sério”, finaliza.