Em fevereiro 19, 2024, O ransomware LockBit foi derrubado pela Agência Nacional de Crimes do Reino Unido em cooperação com uma seleção de outras agências de aplicação da lei. O banner típico para tais remoções agora ilustra todos os ativos da web do ransomware LockBit. Há muita esperança sobre a possível liberação de chaves de descriptografia e até mesmo de uma ferramenta de descriptografia.
LockBit retirado pela NCA
Em fevereiro 19, 2024, analistas notaram que o site de vazamento do LockBit na Darknet ficou offline. Algum tempo depois, apareceu um banner informando sobre a remoção. Naquela bandeira, a Agência Nacional do Crime do Reino Unido afirma que este é o resultado de uma cooperação multinacional bem-sucedida na aplicação da lei, chamada Operação Cronos. O texto também contém a oferta visitar a página no dia seguinte - em fevereiro 20 – para obter mais informações.
Essa não é a primeira aquisição de ativos de rede pelas autoridades policiais que o grupo de ransomware de ponta sofre. Alguns meses atrás, uma história semelhante aconteceu com ALPHV/BlackCat, outro grupo de ransomware infame. No caso deles, no entanto, nem todos os sites Onion estavam fora do ar, e eles conseguiram recuperar o acesso. Isso de fato virou uma história em quadrinhos, onde o acesso ao site was more like a reversed hot potatoes game.
Apesar disso, a remoção atual parece ser tão séria quanto possível. Todos os espelhos do seu site Darknet principal agora estão tendo o referido banner. Bem, é possível que algo milagroso aconteça, mas na minha humilde opinião, sua infraestrutura de cebola é feito. Ou isso, ou a NCA ficará bastante envergonhada por anunciar a divulgação de detalhes em 11:30 GMT, e não cumprindo a promessa.
Aplicação da lei internacional bloqueia infraestrutura LockBit
Pouco depois do comunicado de imprensa original, as informações dos afiliados LockBit chegaram. A equipe VX-Undeground compartilha informações exclusivas e uma captura de tela tirada por um dos membros da gangue ao tentar entrar no sistema.
O texto afirma o seguinte:
A aplicação da lei assumiu o controle da plataforma da Lockbit e obteve todas as informações nela contidas. Esta informação refere-se ao grupo Lockbit e você, seu afiliado. Temos código fonte, detalhes das vítimas que você atacou, a quantidade de dinheiro extorquida, os dados roubados, bate-papos, e mais, muito mais. Você pode agradecer ao Lockbitsupp e sua infraestrutura defeituosa por esta situação… poderemos entrar em contato com você muito em breve.
Se você quiser entrar em contato conosco diretamente, Por favor, entre em contato: [removido]
Enquanto isso, nós encorajamos você a visitar o site de vazamento do Lockbit.
Tenha um bom dia.
Cumprimentos,
A Agência Nacional do Crime do Reino Unido, o FBI, Europol, e a Operação Cronos Law Enforcement
Outra informação vem do bate-papo Tox da gangue. Em uma breve mensagem, eles dizem sobre os servidores PHP sendo controlados, enquanto os servidores de reserva não-PHP estão OK. Considerando o uso de linguagem obscena, atípico para representantes LockBit, a situação está bastante tensa, para dizer o mínimo.
Descriptografador LockBit em breve?
O que é mais emocionante do que a informação que será publicada amanhã é o que se seguirá. A derrubada supõe vazando as chaves de descriptografia junto com sua ferramenta de decodificação proprietária. Talvez nem todos eles estejam disponíveis tão facilmente, mas acessar uma grande quantidade de informações internas é definitivamente a chave para expor tudo.
O fato do vazamento e do descriptografador estarem disponíveis é simplesmente milagroso para as vítimas. Com certeza, isso não excluirá os dados que as fraudes roubaram da rede. Mas recuperar todos os arquivos sem nenhum custo é muito mais importante. E como funcionará mesmo para vítimas que não cumpriram o prazo de pagamento, a questão surge mais uma vez – por que você pagaria o resgate? Pode ser uma opção muito mais razoável apenas esperar, e parece que cada vez mais vítimas de ransomware seguem essa opinião.
Atualização 20.02 – Site LockBit Darknet cheio de vazamentos e anúncios
Na hora designada de 11:30 GMT em fevereiro 20, todos os sites do LockBit que foram controlados começaram a redirecionar para o que costumava ser sua página de vazamento. Agora, é preenchido com as informações coletadas pelas agências de aplicação da lei. Em particular, as informações sobre a estrutura de back-end da rede do crime cibernético foram reveladas, demonstrando as capturas de tela dos servidores apreendidos.
Além de que, a aplicação da lei adicionou uma informação tentadora – as informações sobre o administrador do grupo, conhecido como LockBitSupp. “A pergunta de US$ 10 milhões” será respondida em fevereiro 23, 2024. Alguns dos funcionários de escalão inferior já foram presos na Polónia e na Ucrânia. Bem, LockBitSupp não mentiu ao dizer que seu grupo é multinacional.
O que é uma notícia ainda melhor é a confirmação da liberação das chaves de descriptografia, como previ no texto original. As chaves, junto com ferramentas de recuperação, estará disponível para qualquer vítima mediante entrando em contato com a NCA para residentes no Reino Unido, IC3 para projeto dos EUA e NoMoreRansom para os outros.
O que é LockBit Ransomware?
LockBit é um dos grupos de ransomware de maior sucesso que estão atualmente ativos no mercado de ransomware. Seu software eficiente e planejamento meticuloso de ataques os tornaram dominantes nos últimos anos. Suas somas de resgate são grandes, os ataques são rápidos e os métodos são tão sem princípios quanto você pode imaginar. Para ser breve - nada menos que líderes na indústria do crime cibernético.
É óbvio que o LockBit acabará por se tornar um alvo para a aplicação da lei, cedo ou tarde. Eles foram atacados antes, mas de uma forma mais branda, que levou ao tempo de inatividade ou à mudança urgente para um software diferente. Ainda, eles estavam reconhecendo seus erros e abrindo todos os programas de recompensa de bugs (!!) para pessoas que podem encontrar problemas em seu software. Esse, junto com a modernização contínua de seu software e atualizações da infraestrutura online foi o que fez do LockBit a imagem de inquebrável. E é por isso que o fato da remoção deixou a comunidade alvoroçada.
