A semana mais extraordinária na história do ransomware que alguém pode lembrar começou em 19 de fevereiro, com uma derrubada histórica da infraestrutura usada pelo notório grupo de ransomware LockBit.
Os observadores da indústria estavam eufóricos, quase vertiginosamente. Na verdade, isso pode ser um eufemismo. O Twitter-X estava referto de parabéns, a maioria deles dirigidos à Dependência Pátrio do Delito (NCA) da Grã-Bretanha, que liderou a operação.
Allan Liska do Recorded Future (um ex-colaborador deste site) até postou uma foto de cupcakes que seus colegas entregaram no escritório de Boston para comemorar a ocasião.
Mas havia mais. Na mensagem de consumição policial na página da LockBit, a polícia provocou uma revelação ainda maior para 23 de fevereiro – a identidade do gestor da dark web do grupo.
Infelizmente, quando chegou o dia e a hora, nenhum nome foi divulgado. Todavia, o que foi revelado ainda era intrigante; o infame gestor da dark web do grupo, “LockBitSupp”, era varão, dirigia uma Mercedes e “envolvia-se com a emprego da lei”.
Não sabemos o quão significativo isso é. As autoridades sabem o seu nome ou unicamente alguns detalhes da sua vida? Em que sentido ele se “engajou” e isso importa mesmo, dada a ruptura na plataforma do grupo?
O que aconteceu?
A explicação técnica:
“A operação que durou meses resultou no comprometimento da plataforma primária da LockBit e de outras infraestruturas críticas que permitiram seu empreendimento criminoso”, disse a Europol, parceira da NCA, no seu expedido.
Em outras palavras, os sites da gangue, incluindo sites de comando e controle e de vazamento da dark web (34 no totalidade), foram apreendidos, efetivamente colocando o LockBit offline. Felizmente, as vítimas do LockBit agora podem encolher uma utensílio de descriptografia para restabelecer o aproximação aos seus arquivos criptografados.
Pelo menos duas prisões também foram feitas, enquanto mandados internacionais foram emitidos para outras três pessoas. Outros poderão seguir em breve, enviando a mensagem aos afiliados e seguidores de que eles não estão seguros ao usar a plataforma deste grupo.
Tabelas viradas
O proclamação da polícia estava longe das remoções padrão de crimes cibernéticos, que normalmente são assuntos sóbrios e quase burocráticos. Era porquê se a humilhação pública tivesse a intenção de destruir para sempre a credibilidade da plataforma e das pessoas que a dirigem.
Nesse sentido, a NCA e os seus parceiros verão a operação porquê um sucesso, mesmo enquanto a LockBit tenta ressuscitar. A reputação de resiliência e profissionalismo do grupo já o precedeu há muito tempo. Se as autoridades conseguirem comprometer isso, provavelmente poderão fazer o mesmo com outros grupos de ransomware ainda em operação.
É difícil não ver isso porquê um grande golpe psicológico para um grupo responsável por vários grandes ataques de ransomware nos últimos quatro anos, incluindo o Royal Mail, a Boeing, a Capital Health e a empresa de CRM Prudente. O incidente também será analisado em procura de lições de outros grupos de ransomware.
O que é surpreendente é que nascente é o mais recente em um ritmo rápido de interrupções de grupos de ransomware no ano pretérito, que inclui Ragnar Locker em outubro e o principal grupo ALPHV/BlackCat em dezembro.
Isso além do ransomware Rhysida (responsável pelo ataque à Livraria Britânica) ter suas chaves quebradas recentemente e o RansomedVC ser fechado em novembro.
O ransomware há muito opera impunemente. No mínimo, talvez isso pelo menos agora tenha sumido para sempre.
