Mais agressivo, grupo do ransomware LockBit agora promete “extorsão tripla”

Além de sequestrar sistemas e vazar dados, hackers do ransomware LockBit agora ameaçam com ataque DDoS contra vítimas

Emerson Alecrim
Por

Grupos que atacam por meio de ransomwares se parecem cada vez mais com empresas. Alguns conseguem até elaborar estratégias para responder a problemas no “mercado”. A gangue por trás do LockBit, por exemplo, teve um vazamento de dados frustrado e reagiu criando um agressivo esquema de extorsão tripla contra as vítimas.

Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: Kevin Horvat/Unsplash)
Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: Kevin Horvat/Unsplash)

Se o esquema de extorsão agora é triplo, o anterior era duplo? Era. Muitos grupos de ransomware se especializaram em paralisar sistemas invadidos e, ao mesmo tempo, vazar dados sigilosos quando a vítima não paga um resgate.

Na nova estratégia, além das mencionadas abordagens, também haverá ataques DDoS (ataque de negação de serviço distribuído).

Antes, o contexto

De acordo com o BleepingComputer, foi o que aconteceu com a Entrust — ironicamente, uma companhia especializada em segurança digital. Ou melhor, era para ter acontecido. Uma reação inesperada impediu o vazamento de dados.

Em 18 de junho, a Entrust teve dados internos capturados em um ataque realizado com o LockBit. Como o resgate não foi pago, o grupo por trás do ransomware ameaçou vazar os dados coletados em 19 de agosto. No entanto, a página de vazamento do grupo na dark web sofreu um ataque DDoS na ocasião.

Um membro da gangue que se identifica como LockBitSupp declarou que a página recebeu mais de 400 requisições por segundo oriundas de mais de mil computadores.

Até existe a possibilidade de o ataque DDoS ter sido realizado por um grupo rival. Mas, dadas as circunstâncias, é mais provável que a ação tenha sida coordenada pela própria Entrust ou por especialistas contratados pela companhia.

A empresa chegou a ser questionada pelo TechCrunch sobre a autoria do ataque DDoS, mas não houve resposta. O fato é que o servidor atacado ficou tão sobrecarregado que o vazamento de dados não foi adiante na ocasião.

LockBit não se deu por vencido

Se de um lado o episódio pegou o grupo de surpresa, do outro, deixou uma lição. Dias depois, LockBitSupp revelou que a infraestrutura da gangue foi reorganizada para impedir novas paralisações por ataques DDoS.

No caso em questão, além de vazar um torrent dos supostos dados da Entrust em um site próprio, o grupo o disponibilizou em pelo menos dois serviços de compartilhamento de arquivos.

Além disso, a partir de agora, a gangue vai usar uma abordagem de múltiplos links para vazar dados. Isso significa que, em vez de um site que concentra todos os vazamentos, o grupo terá um link dedicado para cada um deles, não divulgado previamente.

Para completar, o grupo aposta em redundância. Os servidores de vazamentos serão espelhados e os dados capturados poderão ser vazados até na clearnet (a web “normal”, que todos nós acessamos).

Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: PixaHive)
Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: PixaHive)

Mas a cartada final está justamente em ataques DDoS. A ação do tipo que surpreendeu o grupo por trás do LockBit inspirou o uso da técnica como mecanismo adicional de extorsão.

LockBitSupp revelou que está procurando especialistas no assunto. “Eu senti o poder dos dudos [ataques DDoS] e como eles revigoram e fazem a vida mais interessante”, declarou em um fórum hacker.

Não que ataques DDoS já não tenham sido usados concomitantemente a ações de ransomwares. Mas a ideia é ter uma arma a mais para pressionar as vítimas a pagarem o resgate: sequestro de sistemas + vazamento de dados + DDoS.

É de se presumir que os ataques de negação de serviço serão direcionados a serviços da vítima não afetados diretamente pelo LockBit.

O ransomware LockBit

O LockBit é um ransomware está em atividade pelo menos desde 2019. O grupo responsável pela praga costuma seguir a tática do “Ransomware as a Service”, quando o malware é fornecido para que terceiros efetuem ataques com ele.

Organizações brasileiras estão entre as mais atingidas pelo ransomware. Uma delas foi a Secretaria de Fazenda do Rio de Janeiro, em abril.