Códigos do ransomware LockBit vazam na internet
Por Felipe Demartini | Editado por Claudio Yuge | 23 de Setembro de 2022 às 17h20
Os códigos-fonte do grupo cibercriminoso LockBit foram vazados na internet nesta semana, expondo publicamente os detalhes da ferramenta usada para travar os arquivos das vítimas. Originalmente, o responsável pela publicação afirmou ter invadido os servidores da gangue, que mais tarde, veio à público afirmar que se trata da vingança de um desenvolvedor descontente.
- O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la
- 80% dos ataques de ransomware acontecem por falhas de configuração
Seja como for, a ideia é que os códigos-fontes do ransomware LockBit estariam circulando em grupos privados, pelo menos, desde o dia 10 de setembro, antes da liberação pública. O vazamento, mais especificamente, se refere à ferramenta usada pelo grupo para construir ataques de sequestro digital a partir da versão 3.0, a mais recente em utilização pelo bando.
"Uma pessoa desconhecida, @ali_qushji, disse que seu time hackeou os servidores do LockBit e encontrou o possível construtor do ransomware LockBit Black (3.0). Pode conferir no repositório do GitHub)"
A LockBit Black, como é chamada, vem sendo usada desde junho na construção de golpes contra vítimas. Antes disso, estava em fase de testes pelos desenvolvedores ligados à quadrilha, que experimentavam com recursos avançados como sistemas que ajudam a escapar da detecção por softwares de segurança, novos métodos de extorsão e até um programa de bug bounty para que especialistas pudessem apontar brechas no sistema, recebendo dinheiro em troca.
O vazamento teria ocorrido em uma destas etapas, com fontes ligadas ao LockBit afirmando que o responsável, identificado no Twitter como Ali Qushji e cuja conta foi restrita pela rede social, estaria descontente com a liderança da gangue cibercriminosa. Mais detalhes sobre o vazamento também foram divulgados pelo repositório de malwares VX Underground, que mais tarde, apagou as publicações sobre o assunto.
"Alguns tópicos de malware podem ser perigosos, principalmente aqueles envolvendo grupos de ameaça multimilionários (ou multibilionários). O vx-underground decidiu não distribuir o LockBit Builder que recebeu, pois acredita ter sido uma decisão ruim se envolver na política de ransomware."
Em pronunciamento, os responsáveis pelo espaço afirmam que não vão incluir o construtor de ransomware do LockBit em sua biblioteca online. O maior temos quanto ao vazamento, agora, é o uso da ferramenta na realização de ataques por terceiros, já que todo o fluxo de comprometimento está presente nos arquivos liberados, que também incluem ferramentas de destravamento de arquivos e demais funcionalidades. No momento em que essa reportagem é escrita, os códigos podem ser encontrados no GitHub, acessíveis por qualquer um.
O LockBit é uma das principais quadrilhas de ransomware em atividade no mercado atual. O grupo atua no ramo da dupla extorsão, infectando sistemas para sequestrar arquivos e, também, cobrando dinheiro das empresas vitimadas para que os dados não sejam liberados na internet. No Brasil, a fornecedora de serviços de atendimento Atento foi sua principal vítima.