A gangue de cibercriminosos LockBit, uma das mais perigosas do setor nos últimos meses, aparentemente voltou a atacar. Indícios de que o grupo está novamente infectando vítimas com ransomwares apareceram nas análises de empresas de segurança como a Zscaler.
O retorno é curioso por acontecer pouco mais de uma semana depois de uma operação policial de larga escala que resultou no desmantelamento de boa parte das atividades da gangue.
A ação conjunta, que envolveu até o FBI e a Europol, resultou no confisco de carteiras de criptomoedas, identificação de contas ligadas ao grupo e derrubada de dezenas de servidores. Além disso, ao menos dois integrantes foram presos na Polônia e na Ucrânia.
ThreatLabz has observed new #Lockbit ransomware attacks following the law enforcement takedown operation last week.
— Zscaler ThreatLabz (@Threatlabz) February 27, 2024
The latest ransom note can be found in our GitHub repo: https://t.co/rZdficpiRJ pic.twitter.com/hEIqJWrEGI
Pelo visto, entretanto, parte da estrutura segue operando e agora está em fase de reconstrução — com um retorno que não era esperado para acontecer tão perto do avanço das autoridades.
O retorno do LockBit
De acordo com o BleepingComputer, as páginas de negociação de pagamento de resgate também voltaram ao ar. Até o momento, não há informações sobre quem seriam as novas vítimas ou se alguma companhia já foi afetada pelo LockBit no retorno das operações.
A criptografia usada para sequestrar os arquivos dos servidores foi atualizada com novos códigos, já que as chaves de acesso foram liberadas após os acontecimentos da última semana.
O grupo também estaria contratando novos especialistas em cibersegurança para aprimorar os próprios serviços, o que significa que um eventual "LockBit 2.0" pode ser ainda mais nocivo do que o anterior.
A nova tela de aviso de que o servidor foi "sequestrado" pelo LockBit.Fonte: Bleeping Computer
Ainda segundo o site, o tamanho da atual estrutura do LockBit após as ações policiais segue um mistério. Até o começo deste ano, cerca de 180 pessoas estariam ligadas à gangue — seja por envolvimento direto ou contratação da ferramenta de infecção de servidores. Entre as vítimas, estão a empresa de semicondutores TSMC, o banco brasileiro BRB e até mesmo um hospital infantil.
Há uma hipótese de que o grupo, na verdade, está se reorganizando para trocar de nome e continuar agindo usando outra identidade, já que isso aconteceu outras vezes com gangues após elas virarem alvo das autoridades.
Fontes
Categorias
