O impacto da Operação Cronos continua a prejudicar as operações do grupo de ransomware LockBit e a gangue começou a postar falsas alegações de vítimas em seu site de vazamento. A operação interrompeu as atividades dos hackers, numa ação liderada pela Divisão Cibernética da Agência Nacional do Crime (NCA) do Reino Unido e o FBI e coordenada na Europa pela Europol e a Eurojust.
Quase 80% das vítimas que aparecem no novo site de vazamento de dados do grupo são falsas, de acordo com um novo relatório da Trend Micro, empresa japonesa de segurança cibernética que participou da operação policial que derrubou a infraestrutura da Lockbit em 19 de fevereiro.
Mais de dois terços das vítimas listadas (68%) foram reenvios de ataques que ocorreram antes da Operação Cronos e 10% foram vítimas de outros grupos de ransomware —nomeadamente ALPHV/BlackCat e RansomHub.
A Trend Micro também descobriu que 7% dos uploads pós-Operação Cronos foram rapidamente removidos. “14 vítimas ainda não foram publicadas e não encontramos nenhum dado público além das postagens no site LockBit que afirmam verificar as datas reais dos ataques”, acrescentou o relatório.
Com base nesta análise, a Trend Micro diz que a LockBit está tentando manipular seu novo site de vazamento, preenchendo-o com dados falsos de vítimas e dando-lhe uma aparência de normalidade, como se o grupo estivesse totalmente de volta e funcionando. Outros comportamentos suspeitos, como a remoção dos nomes das vítimas antes do final da contagem regressiva e o upload das vítimas em lotes, também apoiam esta hipótese.
Como parte da Operação Cronos, a Trend Micro revelou que, antes da remoção, os administradores do LockBit estavam trabalhando em uma nova versão de ransomware independente de plataforma que os pesquisadores chamaram de LockBit-NG-Dev — NG significa próxima geração. No entanto, a remoção suspendeu quaisquer projetos de desenvolvimento, já que a LockBit teve que se concentrar na restauração de sua infraestrutura.
Veja isso
Após interrupção, LockBit desafia autoridades e promete retornar
Polícia prende membros do LockBit e libera descriptografador
Embora o chefão do LockBit — também conhecido como LockbitSupp — tenha prometido retornar rapidamente, a capacidade dos afiliados do grupo de lançar novos ataques parece severamente prejudicada. O relatório da Trend Micro mostra uma clara queda no número de infecções reais associadas ao grupo de ransomware após a Operação Cronos, com apenas um pequeno grupo de ataques observado nas três semanas seguintes à interrupção.
Em fóruns de crimes cibernéticos, usuários que afirmam ser afiliados da LockBit reclamaram de interrupções na infraestrutura do grupo antes mesmo de a operação ser anunciada publicamente.
Acesse o relatório completo da Trend Micro (em inglês) clicando aqui.