Como resultado da Operação conjunta Cronos, realizada por órgãos de segurança pública dos Estados Unidos, Europa, Austrália e Japão, parte dos recursos pertencentes ao grupo hacker LockBit, responsável pelo desenvolvimento do vírus ransomware de mesmo nome, foi hackeado.
Fonte da imagem: vx-underground
Uma mensagem apareceu no site da LockBit informando que funcionários da Agência Nacional do Crime (NCA, Reino Unido), do FBI dos EUA, da Europol, bem como agências nacionais de aplicação da lei da França, Japão, Suíça, Canadá, Austrália, Suécia e Holanda participaram no hacking de recursos cibercriminosos, Finlândia e Alemanha. A operação ainda está “em andamento e evoluindo”, disseram funcionários da NCA e do DOJ. Só nos Estados Unidos, o LockBit impactou os recursos de mais de 1.700 organizações em praticamente todos os setores, desde o setor financeiro até fornecedores de alimentos, escolas, empresas de transporte e agências governamentais; O grupo é considerado o maior no segmento de desenvolvedores de vírus ransomware.
O grupo ainda tinha servidores de backup à sua disposição, que não foram afetados pelas ações das agências de aplicação da lei, informou o LockBit – o FBI atacou apenas recursos na linguagem PHP, e servidores de backup sem PHP supostamente continuaram a operar normalmente. Para hackear recursos de hackers, foi utilizada a vulnerabilidade CVE-2023-3824 na linguagem PHP, especificaram representantes do grupo.
O vírus LockBit foi descoberto em 2020 – começou a se espalhar a partir de fóruns cibercriminosos em língua russa, o que deu aos especialistas em segurança cibernética motivos para considerar o grupo como russo. No seu agora extinto site darknet, no entanto, o grupo disse que estava “com sede na Holanda, completamente apolítico e interessado apenas em dinheiro”. No início do ano passado, o vírus LockBit atacou os recursos do Royal Mail britânico; em novembro, a empresa Boeing foi vítima de hackers, cujos dados internos foram divulgados publicamente.
De acordo com o grupo de pesquisa de segurança cibernética vx-underground, quando grupos de hackers afiliados ao LockBit tentaram fazer login no painel de controle do vírus, viram uma mensagem de que agentes do governo haviam conseguido obter o código-fonte, detalhes das vítimas dos ataques, o quantidade de fundos recebidos como resultado de atividades ilegais, registros de bate-papo e muito mais. As autoridades policiais prometeram fornecer informações adicionais no site da LockBit hoje, 20 de fevereiro, às 11h30 GMT (14h30, horário de Moscou).
A Lockbit é a operadora dominante de vírus ransomware no mundo, disse Don Smith, vice-presidente da Secureworks (parte da Dell Technologies), com o grupo ocupando 25% deste mercado. Seu concorrente mais próximo era a Blackcat, com uma participação de cerca de 8,5%.