Mais agressivo, grupo do ransomware LockBit agora promete “extorsão tripla”

Além de sequestrar sistemas e vazar dados, hackers do ransomware LockBit agora ameaçam com ataque DDoS contra vítimas

Emerson Alecrim
Por
Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: Kevin Horvat/Unsplash)

Grupos que atacam por meio de ransomwares se parecem cada vez mais com empresas. Alguns conseguem até elaborar estratégias para responder a problemas no “mercado”. A gangue por trás do LockBit, por exemplo, teve um vazamento de dados frustrado e reagiu criando um agressivo esquema de extorsão tripla contra as vítimas.

Se o esquema de extorsão agora é triplo, o anterior era duplo? Era. Muitos grupos de ransomware se especializaram em paralisar sistemas invadidos e, ao mesmo tempo, vazar dados sigilosos quando a vítima não paga um resgate.

Na nova estratégia, além das mencionadas abordagens, também haverá ataques DDoS (ataque de negação de serviço distribuído).

Antes, o contexto

De acordo com o BleepingComputer, foi o que aconteceu com a Entrust — ironicamente, uma companhia especializada em segurança digital. Ou melhor, era para ter acontecido. Uma reação inesperada impediu o vazamento de dados.

Em 18 de junho, a Entrust teve dados internos capturados em um ataque realizado com o LockBit. Como o resgate não foi pago, o grupo por trás do ransomware ameaçou vazar os dados coletados em 19 de agosto. No entanto, a página de vazamento do grupo na dark web sofreu um ataque DDoS na ocasião.

Um membro da gangue que se identifica como LockBitSupp declarou que a página recebeu mais de 400 requisições por segundo oriundas de mais de mil computadores.

Até existe a possibilidade de o ataque DDoS ter sido realizado por um grupo rival. Mas, dadas as circunstâncias, é mais provável que a ação tenha sida coordenada pela própria Entrust ou por especialistas contratados pela companhia.

A empresa chegou a ser questionada pelo TechCrunch sobre a autoria do ataque DDoS, mas não houve resposta. O fato é que o servidor atacado ficou tão sobrecarregado que o vazamento de dados não foi adiante na ocasião.

LockBit não se deu por vencido

Se de um lado o episódio pegou o grupo de surpresa, do outro, deixou uma lição. Dias depois, LockBitSupp revelou que a infraestrutura da gangue foi reorganizada para impedir novas paralisações por ataques DDoS.

No caso em questão, além de vazar um torrent dos supostos dados da Entrust em um site próprio, o grupo o disponibilizou em pelo menos dois serviços de compartilhamento de arquivos.

Além disso, a partir de agora, a gangue vai usar uma abordagem de múltiplos links para vazar dados. Isso significa que, em vez de um site que concentra todos os vazamentos, o grupo terá um link dedicado para cada um deles, não divulgado previamente.

Para completar, o grupo aposta em redundância. Os servidores de vazamentos serão espelhados e os dados capturados poderão ser vazados até na clearnet (a web “normal”, que todos nós acessamos).

Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: PixaHive)
Grupo do ransomware LockBit promete extorsão tripla (imagem ilustrativa: PixaHive)

Mas a cartada final está justamente em ataques DDoS. A ação do tipo que surpreendeu o grupo por trás do LockBit inspirou o uso da técnica como mecanismo adicional de extorsão.

LockBitSupp revelou que está procurando especialistas no assunto. “Eu senti o poder dos dudos [ataques DDoS] e como eles revigoram e fazem a vida mais interessante”, declarou em um fórum hacker.

Não que ataques DDoS já não tenham sido usados concomitantemente a ações de ransomwares. Mas a ideia é ter uma arma a mais para pressionar as vítimas a pagarem o resgate: sequestro de sistemas + vazamento de dados + DDoS.

É de se presumir que os ataques de negação de serviço serão direcionados a serviços da vítima não afetados diretamente pelo LockBit.

O ransomware LockBit

O LockBit é um ransomware está em atividade pelo menos desde 2019. O grupo responsável pela praga costuma seguir a tática do “Ransomware as a Service”, quando o malware é fornecido para que terceiros efetuem ataques com ele.

Organizações brasileiras estão entre as mais atingidas pelo ransomware. Uma delas foi a Secretaria de Fazenda do Rio de Janeiro, em abril.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Temas populares