Se o ransomware é um dos principais problemas de segurança da atualidade. O Lockbit é um dos maiores causadores e beneficiários deste tipo de ataques de extorsão. É ou era, porque o grupo foi alegadamente desmantelado numa operação conjunta que envolveu políciais de vários países. A operação terá sido coordenada pela National Crime Agency do Reino Unido e pelo FBI, que contaram com a colaboração de várias autoridades europeias.

“Este site está agora sob controlo da Agência Nacional do Crime do Reino Unido, a trabalhar em estreita cooperação com o FBI e com uma uma task force internacional de autoridades, a Operação Cronos”, refere uma mensagem publicada no site do grupo criminoso na Dark Web, divulgada pela Reuters. As bandeiras de França, Suécia, Países Baixos, Finlândia, Alemanha, Suíça, Japão, Canadá e Austrália também estão representadas na mensagem que tomou conta do site do Lockbit na Dark Web.

O que significa desmantelar o Lockbit?

Segundo Don Smith, vice-presidente da Secureworks, em declarações citadas pela Reuters, este grupo de cibercriminosos geria qualquer coisa como um quarto do “negócio” mundial de ransomware. “Eles são o Walmart dos grupos de ransomware, atuam como uma empresa e é isso que os diferencia”, defende também Jon DiMaggio, da empresa de segurança Analyst1, admitindo que este é sem dúvida o maior grupo do género da atualidade.

Que ataques foram da autoridade do Lockbit?

A lista é bem extensa. Só nos Estados Unidos o grupo terá atacado, pelo menos, 1.700 empresas de referência nos mais diversos sectores, segundo dados oficiais. Desde que foi identificado em 2019, a assinatura do Lockbit esteve em ataques a grandes organizações de todos os setores e em quase todos os países, incluindo Portugal. No início do ano passado, por exemplo, foi o Lockbit que reclamou a autoria do ataque informático ao Porto de Lisboa. Em novembro do ano passado atacou a Boeing e terá estado também por trás do ataque ao maior banco da China. Meses antes deixou o serviço de correios britânico sem sistemas durante várias horas, entre muitos outros exemplos.

Porque é que o Lockbit tem tanto sucesso?

O grupo funcionava, como muitos nesta área, com uma rede de afiliados que usaram as suas ferramentas para lançar ataques e ameaçar empresas em esquemas de ransomware. Dados críticos de negócio ou de clientes são acedidos através destas ferramentas e a empresa é ameaçada de não voltar a ter acesso a essa informação ou vê-la publicamente divulgada, se não pagar um resgate. Calcula-se que nesta altura o Lockbit tivesse cerca de 100 grupos afiliados, o que multiplica em muito a capacidade de fazer ataques e as fontes de receitas da organização.

Quem está por trás do Lockbit?

Tem-se dito que o coletivo pode trabalhar ao serviço do governo russo, porque comunica naquela língua e porque os alvos do ataque normalmente não estão em países com o mesmo idioma. Os próprios garantem que não têm afiliação partidária nem motivações políticas. Querem apenas ganhar dinheiro. Dizem também que operam a partir dos Países Baixos.

O fim do Lockbit inviabiliza a ação de todos os outros grupos que trabalham com ele?

O tempo dirá, mas o próprio Lockbit já veio garantir que as autoridades só conseguiram aceder a parte das suas bases de dados (em PHP) e que existem backups noutras linguagens de programação, completamente a salvo. Essa informação terá sido partilhada por um responsável da organização num serviço de mensagens instantâneas em russo. Foi vista pela vx-underground, uma companhia de cibersegurança, que divulgou o conteúdo na X.

Lockbit
créditos: VX-Underground

A operação que desmantelou o Lockbit está concluída?

As autoridades entretanto também confirmaram que a operação continua em marcha, sem fazer para já muitos mais comentários. Aos criminosos associados parecem querer deixar claro que a investigação continua em marcha e pode chegar a eles.

A mesma empresa de segurança que partilhou a alegada mensagem de um responsável do Lockbit, mostra na sua conta na rede social X capturas de ecrã daquilo que será o painel de controlo usado pelos grupos afiliados do Lockit para lançar ataques. Aí pode ler-se uma mensagem que diz oseguinte: "Temos o código-fonte, os pormenores das vítimas que atacou, o montante de dinheiro extorquido, os dados roubados, as conversas e muito, muito mais] [... Poderemos entrar em contacto consigo muito em breve[...]Tenha um bom dia".

Entretanto, no site do Lockbit as contagens que mostravam o tempo que restava às empresas atacadas em cada momento para pagarem os resgates pedidos foram também substituídas por um novo countdown, agora colocado pelas autoridades. Pode ler-se aí a mensagem que já partilhámos acima, confirmando que o grupo foi desmantelado, e mais uma nota: “regressa para mais informação às: 11h30 GMT de terça-feira dia 20.