O Federal Bureau of Investigation (FBI) dos EUA divulgou que possui mais de 7.000 chaves de descriptografia associadas à operação de ransomware LockBit para ajudar as vítimas a recuperar seus dados sem nenhum custo.
“Estamos entrando em contato com vítimas conhecidas do LockBit e incentivando qualquer pessoa que suspeite ter sido vítima a visitar nosso Centro de denúncias de crimes na Web em ic3.gov”, disse o diretor assistente da Divisão Cibernética do FBI, Bryan Vorndran, em um discurso na Conferência de Boston sobre Cibersegurança de 2024. Segurança (BCCS).
LockBit, que já foi uma prolífica gangue de ransomware, foi associada a mais de 2.400 ataques em todo o mundo, com nada menos que 1.800 entidades impactantes nos EUA. No início de fevereiro, uma operação internacional de aplicação da lei chamada Cronos, liderada pela Agência Nacional do Crime do Reino Unido (NCA) desmantelou sua infraestrutura on-line.
No mês passado, um cidadão russo de 31 anos chamado Dmitry Yuryevich Khoroshev foi denunciado pelas autoridades como administrador e desenvolvedor do grupo, uma alegação que a LockBitSupp negou desde então.
“Ele mantém a imagem de um hacker obscuro, usando pseudônimos on-line como ‘Putinkrab’, ‘Nerowolfe’ e ‘LockBitsupp’”, disse Vorndran. “Mas, na verdade, ele é um criminoso, mais envolvido na burocracia da administração de sua empresa do que em qualquer atividade secreta.”
Khoroshev também teria nomeado outros operadores de ransomware para que as autoridades pudessem “pegar leve com ele”. Apesar destas ações, a LockBit continuou ativa sob uma nova infraestrutura, embora não operando em nenhum lugar nos níveis anteriores.
Estatísticas compartilhadas pela Malwarebytes mostram que a família ransomware foi associada a 28 ataques confirmados no mês de abril de 2024, ficando atrás de Play, Hunters Worldwide e Black Basta.
Vordan também enfatizou que as empresas que optam por pagar para evitar o vazamento de dados não têm garantia de que as informações sejam realmente excluídas pelos invasores, acrescentando que “mesmo que você recupere os dados dos criminosos, você deve presumir que um dia eles poderão ser divulgados, ou você poderá um dia ser extorquido novamente pelos mesmos dados.”
De acordo com o Veeam Ransomware Tendencies Report 2024, que se baseia em uma pesquisa com 1.200 profissionais de segurança, as organizações que sofrem um ataque de ransomware podem recuperar, em média, apenas 57% dos dados comprometidos, deixando-as vulneráveis a “perda substancial de dados e negócios negativos”. impacto.”
O desenvolvimento coincide com o surgimento de novos gamers, como SenSayQ e CashRansomware (também conhecido como CashCrypt), à medida que famílias de ransomware existentes como TargetCompany (também conhecidas como Mallox e Water Gatpanapun) estão refinando consistentemente sua habilidade comercial, aproveitando uma nova variante do Linux para atingir sistemas VMWare ESXi.
Os ataques aproveitam servidores Microsoft SQL vulneráveis para obter acesso inicial, técnica adotada pelo grupo desde sua chegada em junho de 2021. Ele também determina se um sistema alvo está sendo executado em um ambiente VMWare ESXi e tem direitos administrativos antes de prosseguir com o rotina maliciosa.
“Esta variante usa um script de shell para entrega e execução de carga útil”, disseram os pesquisadores da Development Micro, Darrel Tristan Virtusio, Nathaniel Morales e Cj Arsley Mateo. “O shell script também exfiltra as informações da vítima para dois servidores diferentes para que os atores do ransomware tenham um backup das informações.”
A empresa de segurança cibernética atribuiu os ataques de implantação da nova variante Linux do ransomware TargetCompany a um afiliado chamado Vampire, que também foi revelado pela Sekoia no mês passado.
