Muita pressão, poucos resgates: vazamento mostra como opera uma gangue de ransomware

O grupo LockBit, que é especializado na modalidade de ataque via ransomware, teve as estratégias de atuação expostas em um vazamento. Documentos internos revelam como o grupo atua e até mesmo dá uma ideia da taxa de sucesso do empreendimento criminoso.

O vazamento em questão foi revelado no início deste mês e envolveu uma invasão de grandes proporções aos sistemas do grupo. Dados coletados incluem endereços de contas de bitcoin, nomes de algumas das vítimas e até chaves públicas de destravamento de sistemas.

• Leia também: ‘IA e nuvem são as armas do século 21’, diz manifestante pró-palestina ao TecMundo

Além disso, até conversas das negociações com vítimas e uma espécie de planilha de acompanhamento de golpes foi obtida. A partir desses dados, foi possível ter uma ideia da operação ao mesmo tempo simples e sofisticada do LockBit.

Como o LockBit age contra as vítimas

Um membro da empresa de cibersegurança Ontinue fez uma análise aprofundada dos dados vazados e encontrou uma série de informações sobre a infraestrutura da gangue nos documentos. Esses detalhes incluem os seguintes detalhes:

• o LockBit tem uma espécie de programa de afiliados, em que outros cibercriminosos interessados podem contratar o grupo para receber uma ferramenta personalizada e realizar a invasão;
• o grupo promove esse serviço ao prometer uma vida de ostentação e luxúria para quem quiser virar um membro, em um processo de admissão que levaria apenas cinco minutos;
• esse sistema de 'franqueados' tinha uma infraestrutura robusta na organização, com painéis de controle e uma construção modular de ransomware de acordo com a demanda dos interessados;
• neste caso, o grupo recebe uma fatia do eventual resgate pago pela vítima ou do valor da comercialização desses dados;

O vazamento tem ainda algumas informações sobre como funciona a negociação com as vítimas do ransomware e até a possível taxa de sucesso do grupo — que é baixa em quantidade de casos, mas pode envolver altas quantias de resgate dependendo do tamanho do alvo.

• o valor cobrado pelo resgate é bastante variado, mas há casos em que o responsável pelo ransomware cobrou até US$ 168 milhões (mais de R$ 950 milhões);
• de 246 vítimas encontradas nos dados, apenas sete delas fez o pagamento do resgate — ou seja, menos de 3% dos casos;
• ao menos na planilha, não há a confirmação de que as vítimas que pagaram o resgate de fato receberam as chaves privadas para desbloquear os arquivos;
• para convencer as empresas, o representante do grupo usa mensagens em tom de ameaça e desdenha da vítima. Em uma das mensagens, o hacker fala "o seu tamanho [corporativo] é irrelevante. Os seus dados são valiosos";
• apesar do programa de afiliados ter um guia de como agir na negociação, alguns dos invasores tentavam agir por conta própria, até dobrando o valor do resgate e blefando, como ao falar "Os seus clientes vão sofrer";

O LockBit era um grupos de ransomware mais ativos no setor em quantidade de vítimas de larga escala há alguns anos. Entre os alvos confirmados está o Banco BRB, com servidores atacados em 2022.

No começo de 2024, quando estava bastante ativo e já era alvo de investigações, a operação original do LockBit começou a desmoronar. Após uma ação policial, vários membros influentes da gangue foram presos e outros acabaram identificados. Mesmo com a derrubada de servidores que eram usados nos ataques, porém, a gangue voltou a fazer novos ataques e fornecer ransomwares personalizados para outros cibercriminosos.

Quer ficar atualizado sobre outras novidades de proteção digital, crimes virtuais e tecnologias de privacidade? Conheça a seção de Segurança no site do TecMundo!