A Trend Micro divulgou relatório com descobertas abrangentes do setor de Inteligência de Ameaças após o desmantelamento do grupo LockBit. A ação internacional sem precedentes, conhecida como Operação Cronos, impactou a corporação criminosa responsável por um quarto dos ataques de ransomware em todo o mundo.
A operação global contra o LockBit representa um avanço significativo na luta contra o cibercrime e foi diferente das muitas ações policiais contra grupos criminosos. Isso porque desferiu um golpe decisivo contra este importante agente de ameaças de uma forma que paralisou sua infraestrutura, minou seus recursos financeiros e expôs afiliados, quebrando sua confiança dentro das próprias redes ilícitas.
“Apoiamos intensamente o trabalho disruptivo de cooperação internacional das entidades policiais contra o Lockbit e ficamos satisfeitos com a nossa capacidade de fornecer suporte antecipando os planos futuros do grupo criminoso. À medida que dissecamos as consequências de sua queda, pudemos reforçar a defesa da nossa base global de clientes, produzindo resultados tangíveis”, destacou Robert McArdle, líder da equipe de Pesquisa de Crimes Cibernéticos da Trend Micro.
A operação manchou a reputação do LockBit em sua rede e junto à comunidade de crimes cibernéticos em geral, tornando nulas as suas tentativas de reagrupamento. “Lockbitsupp”, o suposto líder do grupo de ransomware, também foi banido de dois fóruns populares no underground: XSS e Exploit.
O grupo tem tentado reconstruir os sites de vazamento New Onion lançados uma semana após a operação, e “Lockbitsupp” está procurando ativamente corretores que vendam acesso a domínios de nível superior (TLDs).gov, .edu e .org, – no que parece ser uma ação de represália à Operação Cronos. Mas parece que estas investidas não têm obtido sucesso.
A telemetria da Trend revela casos pontuais de ataques ransomware desde a interrupção das atividades do Lockbit. Embora dezenas de vítimas tenham sido postadas no novo site de vazamento LockBit, a grande maioria foi recarregada de campanhas anteriores ou são vítimas de outros grupos de ameaça, como o ALPHV.
O grupo também vem desenvolvendo uma nova versão do ransomware, o Lockbit-NG-Dev, que a Trend vem monitorando de perto e fornecendo proteções avançadas aos clientes.
A operação internacional da qual a Trend Micro fez parte que pôs fim à atividade do LockBit envolveu uma coalizão de agências policiais dos Estados Unidos, Grã-Bretanha, França, Japão, Suíça, Canadá, Austrália, Suécia, Holanda, Finlândia e Alemanha, além da colaboração de parceiros privados.