Gangue LockBit intensifica sequestros digitais com ferramentas remodeladas

Em atividade há pelo menos dois anos, a gangue LockBit intensificou recentemente seus ataques de sequestro digitais (ransomware) e tem promovido de forma ativa suas novas ferramentas. Segundo a Trend Micro, a ferramenta LockbBit 2.0 usada pelos cibercriminosos promete criptografar arquivos dos alvos com velocidades inigualáveis por outros tipos de ataques.

• Aumentam os ataques de ransomware a sistemas industriais desatualizados
• Accenture sofre sequestro digital e tem dados vazados
• Cibercriminosos realizam concursos para aprimorar o roubo de criptomoedas e NFTs

A gangue opera com o sistema de “Ransomware como Serviço” (RaaS, na sigla em inglês), atuando como uma espécie de fornecedora de infraestrutura para grupos que desejam realizar ataques próprios. Fornecendo a estrutura básica para ataques, bem como instruções de como realizá-los, eles cobram parte dos ganhos obtidos com os resgates por sua contribuição.

A análise realizada pela Trend Micro mostra que, entre os dias 1 de julho e 15 de agosto, o LockBit 2.0 esteve envolvido em ataques no Chile, Itália, Taiwan e Reino Unido. Recentemente, a ferramenta maliciosa foi utilizada em um ataque contra a Accenture, que teve 6 TB de dados sensíveis vazados e um pedido de resgate de US$ 50 milhões (R$ 268 milhões) em criptomoedas.

Segundo a empresa de segurança, a ameaça usa um sistema multithread na criptografia de arquivos, mas não faz isso de maneira completa. A análise confirma que somente parte dos documentos atingidos é criptografada, correspondendo a aproximadamente 4KB de cada um deles.

Ransomware como serviço

Além de fornecer a ferramenta de criptografia para seus parceiros, a gangue responsável pelo LockBit 2.0 também oferece a eles o StealBit. Esse cavalo de Troia permite a extração automática de dados, também garantindo aos atacantes o acesso a sistemas usando contas válidas baseadas no protocolo remoto de rede (RDP, na sigla em inglês).

Assim que se infiltra no sistema, o malware identifica a estrutura de rede e inicia ataques controla o controlador. Ele também é capaz de baixar múltiplos arquivos adicionais que são usados para encerrar processos, serviços do sistema e ferramentas de proteção que estão instaladas na máquina. Também são criadas novas políticas de grupo que são enviadas a todos os dispositivos conectados na mesma rede que desativam o Windows Defender e executam o arquivo binário do ransomware em cada dispositivo.

Segundo a Trend Micro, o toque final do LockBit 2.0 é a mudança no papel de parede usado como plano de fundo da Área de Trabalho. No lugar dele é exibido um aviso de que os dados do usuário foram roubados e criptografados, junto a um endereço no TOR que permite decriptografar um arquivo para atestar a veracidade do ataque.

Ameaça persistente

Além de trazer um aviso para as vítimas, a mensagem também promove o sistema de afiliados do grupo, prometendo “milhões de dólares” e anonimato para quem puder fornecer credenciais e acesso a sistemas de grandes empresas. A empresa de segurança também destaca que a gangue é bastante sintonizada em notícias e incorpora ferramentas bem-sucedidas usadas por grupos como o Ryuk e o Egregor em seus ataques.

A expectativa é que o LockBit 2.0 continue sendo uma ameaça constante nos próximos meses, especialmente graças ao interesse que ele despertou com seu sistema de afiliação. Para se proteger de ataques de ransomware, empresas devem adotar sistemas de autenticação em duas etapas em todos os níveis de acesso, bem como aplicar atualizações de segurança assim que possível e investir em sistemas de treinamento que conscientizem funcionários sobre golpes comuns e como evitá-los.

Fonte: ZDNet, TrendMicro