Após sofrer DDoS, gangue de ransomware Lockbit vai aplicar "tripla extorsão"

A gangue de ransomware LockBit parece ter gostado do veneno que provou na última semana, após ter sido atingida por um suposto ataque de negação de serviço que tentou a impedir de liberar dados sigilosos. O bando anunciou que, agora, vai entrar no ramo da tripla extorsão, cobrando resgate de suas vítimas não só para destravar dados e manter informações vazadas em sigilo, mas também para não realizar golpes que tirem os sistemas do ar.

• Ataques DDoS aumentaram quase 75% no início de 2022
• Os 5 métodos de ataque cibernético em que você precisa ficar de olho

É uma tática que vem sendo empregado por diferentes grupos cibercriminosos, com alguns, inclusive, deixando o travamento de dados de lado para focar apenas no roubo de informações e nos ataques DDoS. A ideia é obter dinheiro pela ideia de que uma indisponibilidade, bem como a quebra de confiança pelo vazamento dos dados, é mais danosa do que o trancamento em si, com muitas empresas investindo em backups e sistemas que impedem o ransomware tradicional.

Na postagem em um fórum cibercriminoso, o representante do Lockbit afirma que as infraestruturas da gangue foram melhoradas e, agora, estão protegidas contra golpes dessa categoria. Acima disso, o grupo agora busca especialistas em ataques de negação de serviço para realizar esse tipo de ação contra os alvos selecionados, afirmando que, após sofrer deste mal, foi possível sentir o poder desse tipo de ofensiva e como ela “faz a vida ser mais interessante”.

Trata-se de uma escalada na ameaça de um dos grupos de sequestro digital mais ativos e perigosos do mundo, que já fez clientes de destaque. O bando afirma já ter feito mais de 800 vítimas em todo o mundo, com nomes de peso como Accenture entre elas. No Brasil, a quadrilha foi responsável pelo ataque à gigante Atento, do setor de atendimento e servindo a algumas das principais empresas do país nos setores de delivery, turismo, e-commerce e telefonia, entre outros.

Briga das grandes com a Entrust

Foi justamente após um golpe desse tipo que aconteceram os movimentos que trouxeram o Lockbit até aqui. Em junho, a fornecedora de tecnologia para cartões e documentos Entrust teria sido atingida por um ransomware do grupo, em um incidente que foi confirmado pela empresa um mês depois. Segundo as informações oficiais, o ataque não interrompeu serviços, mas resultou no acesso não autorizado a dados internos.

Tais informações estariam na posse dos bandidos, que deram até 19 de agosto para que a empresa pagasse o resgate. Isso não teria acontecido, mas o prometido vazamento, também não, após a infraestrutura do Lockbit ter saído momentaneamente do ar em um ataque de negação de serviço que os próprios criminosos atribuíram à Entrust.

Enquanto as páginas pertencentes ao grupo na dark web não retornavam ao ar, começou a ser compartilhado neste final de semana um arquivo de torrent com mais de 343 GB de informações pertencentes à companhia atingida. A veracidade do conjunto foi confirmada pelos criminosos, que afirmam ter liberado segredos importantes da fornecedora de tecnologia para todo o mundo, com dados ainda sendo analisados por especialistas em segurança para verificar a extensão dos dados à empresa.

Enquanto isso, com o anúncio de suas novas atividades, a infraestrutura do Lockbit voltou ao ar e, segundo a palavra dos próprios, segue mais firme do que nunca. Usando o chavão “o que não te mata, te deixa mais forte”, os bandidos anunciaram atualizações de segurança e a busca por novos associados para a realização de ataques com tripla extorsão, potencialmente se tornando mais perigosas do que já eram até agora.

Enquanto a Entrust confirmou ter sofrido um ataque cibercriminoso e afirmou estar investigando o caso junto a autoridades ou especialistas, a companhia não comentou a relação com o suposto ataque de negação de serviço contra o grupo Lockbit. O bando, por sua vez, não falou em possíveis novos alvos ou primeiras vítimas desse novo método de atuação.

Fonte: Bleeping Computer