A semana começou com a notícia do desmantelamento do maior grupo de ransomware do mundo, o LockBit, que se acredita ter responsabilidade direta ou indireta em mais de um quinto dos ataques de ransomware a nível global e ganhos acumulados de mais de 140 milhões de dólares. A operação prossegue e ao longo da semana foram já anunciadas várias detenções e outros pormenores têm vindo a ver revelados.

A empresa de segurança Check Point Software alinhou a lista de países com empresas e outras entidades afetadas por ataques do LockBit em 2023, bem como o número de ataques em cada geografia. Portugal está nesta lista de cerca de 80 países afetados pela atividade do grupo e da sua rede de afiliados, com sete ataques contabilizados. Logo em janeiro foi conhecido um destes ataques, ao Porto de Lisboa.

O modelo de operação do LockBit, que trabalhava numa lógica de ransomware-as-a-service, favorecia a disseminação global do uso das suas ferramentas, pelos afiliados que usavam esses recursos para lançar ataques em todo o mundo.

“O LockBit opera num modelo RaaS, fornecendo o ransomware e a infraestrutura a outros cibercriminosos, conhecidos como afiliados, que depois realizam os ataques. Isto permitiu escalar as suas operações e atingir um maior número de vítimas”, sublinha precisamente a Check Point Software.

Ter acesso a informação sobre os ataques perpetrados pelo grupo era fácil, já que a prática habitual era exibir contadores na página do coletivo na Dark Web, onde se mostrava quanto tempo tinham as vítimas com pedidos de resgate em marcha para os pagar. No mesmo site eram divulgados os dados usados para chantagear os atacados que não pagassem o resgate.

Mais difícil foi conseguir apanhar o rasto aos criminosos e “hackear os hackers” como as polícias britânica e americana, que coordenam a operação, fizeram questão de referir esta segunda-feira, quando tomaram conta do site do grupo na Dark Web e aproveitaram a plataforma para anunciar o sucesso da operação.

Clique nas imagens para ver com mais detalhe

No decurso da operação foram encerrados 34 servidores nos Países Baixos, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido. Foram detidas pessoas na Polónia e na Ucrânia e congeladas mais de 200 contas em criptomoedas.

Nos próximos dias ou semanas esperam-se mais novidades, até porque os Estados Unidos têm uma recompensa de 15 milhões de dólares, para quem partilhar informações que ajudem a apanhar os líderes do grupo, alegadamente com ligações à Rússia. Como sublinha a Check Point “durante 2023, [o LockBit] foi o grupo de ransomware mais dominante em termos de vítimas extorquidas publicamente, publicando mais de 1000 organizações extorquidas”.

A lista elaborada pela empresa de segurança mostra agora que países foram os principais alvos das ações do LockBit e dos seus afiliados, mas também a extensão das atividades do grupo a todos os continentes. Estados Unidos, Reino Unido, França, Alemanha e Canadá foram os países onde se registaram mais ataques com a assinatura LockBit. “Os setores mais afetados foram a indústria transformadora (com quase 25% das vítimas) e o retalho”, destaca a Check Point.

Peso do Lockbit no mercado de ransomware
créditos: Check Point Software

Embora tenham sido anunciadas já várias detenções e as próprias autoridades tenham dito que têm dados para “ir atrás” de muitos dos que usaram as ferramentas do LockBit nos últimos anos, membros do próprio LockBit vieram prontamente dizer que a ação das autoridades teria um impacto limitado.

O tempo mostrará se é assim, mas a Ckeck Point adianta que, para além deste, o grupo tem outro problema em mãos neste momento. “Durante o mês passado, o suporte do LockBit esteve envolvido numa grande disputa num dos principais fóruns clandestinos russos e foi banido de qualquer atividade lá, devido à ética comercial questionável”.

A empresa de segurança presume por isso que “a combinação destes dois fatores terá um grande efeito nas operações da LockBit, especialmente no aspeto da reputação, e causar-lhes-á dificuldades significativas para recrutar e manter os afiliados que irão operar este ransomware”. No entanto, e como a tecnológica também sublinha, “na maior parte dos casos, estes grupos bem sucedidos não desaparecem, pelo que podemos esperar algum tipo de rebranding.”