Agentes de polícia prenderam nesta terça-feira, 20, dois operadores da gangue de ransomware LockBit na Polônia e na Ucrânia, criaram uma ferramenta de descriptografia gratuita para recuperar arquivos criptografados e apreenderam mais de 200 carteiras criptografadas após “hackear” os servidores dos criminosos cibernéticos em uma operação internacional de repressão.
As autoridades judiciais francesas e norte-americanas emitiram três mandados de prisão internacionais e abriram cinco acusações contra outros operadores do LockBit. Duas das acusações foram abertas pelo Departamento de Justiça dos EUA contra dois cidadãos russos pelo envolvimento em ciberataques. Dois outros hackers também foram sancionados pelo Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA.
A repressão global ao LockBit foi coordenada pela Operação Cronos, uma força-tarefa liderada pela Agência Nacional do Crime (NCA) do Reino Unido e coordenada na Europa pela Europol e a Eurojust. A investigação começou em abril de 2022 na Eurojust, após um pedido das autoridades francesas.
A operação, que durou meses, resultou na interrupção da plataforma do LockBit e de outras infraestruturas que permitiram as ações criminosas. Segundo a Europol, foram derrubados 34 servidores na Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido. “Esta infraestrutura está agora sob controle das autoridades e mais de 14 mil contas fraudulentas responsáveis pela exfiltração ou infraestruturas foram identificadas e encaminhadas para remoção pelas autoridades”, disse a Europol.
Como parte da Operação Cronos, as autoridades policiais também recuperaram mais de mil chaves de descriptografia dos servidores do LockBit apreendidos. Usando essas chaves de descriptografia, a Polícia Japonesa, a NCA e o FBI desenvolveram uma ferramenta de descriptografia com apoio da Europol. Esse descriptografador gratuito está disponível no portal No More Ransom sob o nome de LockBit 3.0 Black Ransomware.
A Europol disse ter recolhido uma grande quantidade de dados sobre a operação LockBit, que serão utilizados em operações contínuas dirigidas aos líderes do grupo, bem como aos seus desenvolvedores e afiliados. Como parte dessa ação conjunta, a NCA assumiu o controle dos servidores do LockBit usados para hospedar dados roubados das redes das vítimas em ataques de dupla extorsão e nos sites de vazamento da dark web da gangue.
Os sites do LockBit foram retirados do ar na segunda-feira, 19, e passaram a exibir banners sobre a apreensão que informam que a interrupção resultou de uma ação internacional em andamento de aplicação da lei.
Veja isso
Grupo LockBit reina absoluto no cenário caótico de ransomware
LockBit continua sendo a principal ameaça global de ransomware
O painel de afiliados do grupo também foi apreendido pela polícia, agora mostrando uma mensagem, logo após fazerem login, informando que as informações, código-fonte do LockBit, bate-papos e informações das vítimas também foram apreendidos. “Temos o código-fonte, detalhes das vítimas que você atacou, a quantidade de dinheiro extorquido, os dados roubados, chats e muito, muito mais”, diz a mensagem. “Podemos entrar em contato com você em breve. Tenha um bom dia. Atenciosamente, Agência Nacional do Crime do Reino Unido, FBI, Europol e Força-Tarefa de Aplicação da Lei da Operação Cronos.”
A operação de ransomware como serviço (RaaS) LockBit surgiu em setembro de 2019 e desde então tem sido vinculada ou assumido a autoria dos ataques a muitas organizações de alto perfil em todo o mundo, incluindo a Boeing, Royal Mail do Reino Unido, a gigante automotiva Continental e o Receita Federal Italiana. O Departamento de Justiça dos EUA disse que a gangue teve mais de 2 mil vítimas e arrecadou mais de US$ 120 milhões em pagamentos de resgate após demandas totalizando centenas de milhões de dólares.
Para acessar o comunicado sobre as operações internacionais de aplicação da lei do Departamento de Justiça dos EUA que derrubou a infraestrutura do LockBit clique aqui.