O grupo cibercriminoso LockBit 5.0 ressurgiu das cinzas. Em fevereiro deste ano, o grupo havia congelado suas ações após uma operação policial intensa que tinha como objetivo minar parte de suas operações. No entanto, em outubro, noticiamos a volta do grupo a ativa – com um ransomware focado em ataques ainda mais destrutivos para Windows e Linux.
O principal desafio com esse tipo de grupo é a sua imprevisibilidade. É difícil entender como esses agentes se organizam, quais seus objetivos e porque eles fazem o que fazem. No entanto, nesta semana, um representante do LockBit cedeu uma entrevista ao Hackmanac, uma empresa de cibersegurança que analisa o comportamento de grupos cibercriminosos.
Durante o bate-papo, o criminoso detalhou o funcionamento da nova versão do ransomware, a composição do grupo, como eles selecionam alvos, parcerias com instituições e até mesmo o “código de ética” deles.
LockBit 5.0 é grande evolução das versões anteriores
O membro anônimo do grupo começou explicando que a versão 5.0 do LockBit representa um salto marcante, se comparada à outras versões – tanto em sofisticação quanto em eficiência operacional. De acordo com o cibercriminoso, o mecanismo de criptografia foi otimizado para máxima velocidade, reduzindo a janela de reação disponível para os defensores.
“Cada infecção agora carrega uma extensão de arquivo única de 16 caracteres escolhida aleatoriamente, o que dificulta a detecção por ferramentas convencionais que dependem de assinaturas estáticas. Novas camadas anti-depuração e ofuscação aprimorada tornam a engenharia reversa muito mais difícil”, explica.
30 dias para pagar – e só o lucro importa
O integrante também explicou que houve uma evolução no modo de extorsão. Agora, as instituições afetadas recebem uma nota referenciando “LockBit 5.0” junto com um link de pagamento personalizado.
Ele conta que agora o grupo opera com um prazo de 30 dias para pagamento da dívida, depois disso, os dados são publicados.
Durante a entrevista, o criminoso afirmou que o grupo é motivado 100% pelo dinheiro, ou seja, não existe nenhum governo ou instituição por trás do LockBit. Eles também se categorizam como um negócio: eles “testam” as empresas e, se elas forem vulneráveis, eles exigem o pagamento.
Código de ética interno
Outra informação interessante divulgada durante a entrevista é que o grupo não tem alvos, eles agem puramente por oportunidade. No entanto, existe um “código de ética” dentro do grupo, que impede membros de atacarem instituições sem fins lucrativos.
“Nós explicitamente excluímos entidades sem fins lucrativos — incluindo instituições de saúde e outras organizações que servem ao bem público — do nosso escopo. Qualquer membro que ataque esses grupos protegidos é banido, e fornecemos uma chave de descriptografia gratuita para ajudá-los a se recuperar”, explica o cibercriminoso.
Criminosos não se assustam com operações policiais
Essa regra, porém, não parece afastar os afiliados – pelo contrário. O entrevistado explica que, mesmo após o desmantelamento do grupo após a operação policial, a maioria dos membros do grupo são antigos, e há muita gente querendo fazer parte.
“O núcleo da rede de afiliados permanece praticamente inalterado; muitos membros de longa data continuam a operar sob o mesmo guarda-chuva. O programa foi reestruturado para eficiência: os afiliados agora ganham acesso ao painel por uma modesta taxa inicial de US$ 500. Apesar das interrupções passadas, os participantes mais ativos permanecem conosco, e novos também estão se juntando”, conta.
Ele também explica que o grupo é persistente e as operações policiais pouco afastam ou geram conflito interno.
“O fator humano permanece o elo mais fraco em qualquer sistema, incluindo o nosso. Como não pode ser corrigido, a segurança operacional é primordial. Dito isso, embora nossas operações possam ser interrompidas, é improvável que possamos ser eliminados completamente. A resiliência do nosso modelo garante que possamos nos recuperar de reveses melhor do que outros tipos de organizações” contou o cibercriminoso.
Por dentro da mente de criminosos
Toda a entrevista é um caminho para entender a mente dos criminosos – é possível mergulhar em seu individualismo, senso de superioridade e perfeccionismo e até o egocentrismo. Como o integrante explica, os afiliados atuam de forma independente quando entram no grupo.
O LockBit fornece todos os softwares, ferramentas e infraestrutura necessários para a atuação do dia a dia – tudo de última geração, para facilitar a operação. “Não há ponto central de falha que possa comprometer o sigilo. Além disso, confiança não é necessária, se eles quebram as regras, nós simplesmente os banimos”, conta.
Operação infinita
O criminoso afirma que, como nenhum sistema de TI pode ser seguro, o ransomware permanece um modelo lucrativo e sustentável. Ele acredita ajudar empresas de antivírus e pesquisadores a ganhar dinheiro tentando impedir o faturamento dos criminosos.
“O ciclo ataque-defesa é interminável: vulnerabilidades são descobertas, exploradas, corrigidas, e novas surgem. Encontramos um bug, exploramos, e eles consertam. Encontramos outro. O dinheiro faz o mundo girar”, afirma.
A última mensagem do cibercriminoso é “não temos planos de sair deste negócio”.
Relembre o caso
O grupo cibercriminoso LockBit retornou em outubro de 2024 com sua versão 5.0, mais sofisticada e letal, após ficar inativo desde fevereiro devido a operações policiais internacionais.
A nova versão ataca simultaneamente sistemas Windows, Linux e ESXi (plataforma de virtualização), com recursos avançados como criptografia mais rápida, capacidade de apagar rastros e desativar antivírus, além de renomear arquivos com extensões aleatórias de 16 caracteres que dificultam a recuperação.
O ransomware evita atacar sistemas configurados em russo, sugerindo origem na região, e a versão para ESXi representa ameaça especialmente grave por poder comprometer infraestruturas inteiras de virtualização, paralisando operações empresariais completas de uma só vez.
Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.
