Deve-se notar que, apesar do seu estatuto de criminosos, a sua gestão de crises foi notável. (Foto: Getty Images)
ESPECIALISTA CONVIDADO. O Departamento de Justiça dos Estados Unidos, em colaboração com o Reino Unido e outros aliados internacionais, incluindo o Canadá, anunciou uma operação que interrompeu o grupo de ransomware LockBit. Estes últimos são um dos coletivos mais ativos neste campo. Este grupo teve como alvo mais de 2.000 vítimas, cobrou pagamentos de resgate superiores a 120 milhões de dólares e exigiu resgates totalizando várias centenas de milhões de dólares.
A operação de derrubada batizada de “Operação Cronos” resultou na prisão e indiciamento de alguns membros do grupo, bem como no acesso sem precedentes aos sistemas da LockBit. Como resultado, as autoridades apreenderam vários servidores e códigos-fonte do grupo, prenderam dois de seus membros e congelaram 200 contas de criptomoedas.
Os Estados Unidos indiciaram os cidadãos russos Artur Sungatov e Ivan Kondratyev por implantarem o ransomware LockBit contra inúmeras vítimas nos Estados Unidos.
Ironicamente, parece que o LockBit demorou a corrigir algumas vulnerabilidades de software em seus servidores, permitindo que as autoridades os pegassem de surpresa. Além disso, parece que os criminosos não apagaram os dados das vítimas, mesmo depois de os resgates terem sido pagos. Criminosos desonestos? Isso é realmente surpreendente?
O que é Lockbit?
LockBit é um grupo cibercriminoso conhecido por seus ataques de ransomware direcionados a empresas em todo o mundo. Este grupo oferece ransomware como serviço (RaaS) e fornece aos seus afiliados as ferramentas para orquestrar ataques, criptografar dados das vítimas e exigir resgates em troca de chaves de descriptografia.
Os afiliados da LockBit são cibercriminosos que colaboram com o provedor principal, LockBit, para executar ataques. O grupo principal fornece o ransomware e as ferramentas necessárias, enquanto os afiliados são responsáveis por atingir e infiltrar as vítimas, implantar o ransomware e negociar pagamentos de resgate. Em troca, os afiliados compartilham uma parte dos lucros gerados pelos pagamentos de resgate com o grupo principal. Este modelo RaaS permite que o grupo líder amplie seu alcance e aumente seus lucros, ao mesmo tempo que reduz sua exposição e riscos. Funciona um pouco como um modelo de franquia, mas em um contexto totalmente ilegal.
Para ilustrar o modelo de afiliação com um exemplo local, podemos citar o exemplo de Sébastien Vachon-Desjardins, um quebequense de Gatineau condenado a 20 anos de prisão
nos Estados Unidos por crimes relacionados a ransomware, gerando mais de US$ 20 milhões. Era afiliada do Grupo NetWalker, operando sob o modelo RaaS semelhante ao LockBit. Ex-funcionário do governo federal, Vachon-Desjardins virou notícia em 2022 como um dos afiliados mais produtivos do NetWalker e principalmente por ter sido extraditado para os Estados Unidos para cumprir 20 anos de prisão na Flórida.
LockBit, um exemplo de resiliência diante da disrupção
Embora tenha sido interrompido pelas autoridades em fevereiro passado, o LockBit retomou rapidamente as operações em apenas alguns dias. Deve-se notar que, apesar do seu estatuto de criminosos, a sua gestão de crises foi notável.
De acordo com informações publicadas pela LockBit, uma falha de PHP não corrigida provavelmente permitiu que as autoridades acessassem inicialmente alguns de seus servidores. No entanto, os servidores de backup e outros servidores que não utilizam PHP não foram afetados. A presença de backups e as melhores práticas em termos de disponibilidade facilitaram a rápida retomada das operações. As suas comunicações, embora muito arrogantes quanto à eficácia da polícia, foram realizadas rapidamente e pretendiam tranquilizar os seus clientes, os afiliados.
É importante esclarecer que a rápida retomada das atividades da LockBit não é de forma alguma uma boa notícia para pessoas honestas. Infelizmente, a sua rapidez de recuperação revela a sua capacidade de superar obstáculos e a sua gestão da crise quase poderia ser citada como exemplo.
Veja como eles fizeram isso:
1. Identificação rápida do problema.
2. Implementação das ações necessárias para remediar a situação.
3. Comunicação transparente do incidente aos seus clientes.
4. Uso de backups e sites de recuperação de desastres para reiniciar rapidamente suas operações.
Já sabíamos que o LockBit estava entre os grupos mais ativos quando se tratava de ransomware como serviço (RaaS). Hoje vemos que eles também são muito resilientes como “negócio”. O resto da história nos dirá se a aplicação da lei é tão eficaz quanto os “atacantes”. Serão eles capazes de usar os frutos do primeiro “ataque” para abalá-los ainda mais num futuro próximo? Isso é algo para ficar de olho.
Por que pagar o resgate?
Lembro-me que em 2020 esperava-se que as atividades de ransomware diminuíssem. Os analistas responsáveis pelas previsões de cibersegurança previram que estas operações seriam menos lucrativas dada a democratização de soluções de backup seguras e robustas. Infelizmente, esta previsão revelou-se errada. Os ataques de ransomware continuaram a aumentar em frequência e sofisticação. Ainda há muitas organizações que pagam resgates, tornando-se uma atividade lucrativa para os criminosos. Aqui estão algumas das razões pelas quais as organizações, infelizmente, continuam a pagar.
Solução de backup deficiente: as vítimas percebem que as cópias de backup não são utilizáveis, seja porque também foram criptografadas ou porque nunca funcionaram corretamente.
Limitar o impacto na reputação: Algumas organizações acreditam erroneamente que, ao pagar o resgate, conseguirão manter o incidente em segredo e seguir em frente rapidamente. É um erro. Os criminosos podem continuar a extorquir, ameaçando expor o encobrimento. O exemplo da Uber em 2016, que tentou encobrir um incidente, recebeu muita atenção da mídia e resultou em penas de prisão para alguns funcionários.
Custo do tempo de inatividade: o tempo de inatividade devido a um ataque de ransomware pode resultar em perdas financeiras significativas. Para algumas organizações, pagar o resgate pode ser visto como uma forma de minimizar estas perdas, restaurando rapidamente as operações. É um erro. Os criminosos provavelmente ainda terão acesso aos seus sistemas e esperarão algum tempo antes de imporem-se a você novamente.
Pressão regulatória, legal e financeira: Organizações sujeitas a regulamentações rígidas ou contratos sensíveis em relação à proteção de dados podem se sentir obrigadas a pagar o resgate para evitar multas, perda de clientes ou consequências legais relacionadas à perda de dados sensíveis. Mais uma vez, seria um erro não divulgar, bem como potencialmente violar leis e regulamentos que podem tornar ilegal o pagamento de um resgate em determinadas circunstâncias.
Concluindo, mesmo com um plano de recuperação sólido e backups confiáveis, é crucial reconhecer que não são suficientes para evitar a exfiltração de dados. Para se protegerem eficazmente contra ataques de ransomware, as organizações devem adotar uma estratégia de segurança cibernética multicamadas, abrangendo prevenção, deteção, gestão de crises e recuperação de desastres. Além disso, ao considerar o pagamento de um resgate, é essencial consultar um advogado antes de tomar uma decisão.