Como a maioria das operadoras por aí, nós clientes gostei das notícias do mês passado sobre a interrupção da aplicação da lei internacional no LockBit, um dos gangues de ransomware mais lucrativas.
O ransomware tornou-se um problema global nos últimos 10 anos, com gangues modernas de ransomware operando efetivamente como negócios complexos. Ao longo do último ano, vários governos e empresas privadas colaboraram para desmantelar estes gangues. As organizações coordenadoras envolvidas no Operação Cronos usou a infraestrutura própria da LockBit para publicar detalhes sobre as operações da gangue. Por exemplo, Local de vazamento do LockBit foi usado para divulgar a remoção: prisões em vários países, chaves de descriptografia disponíveis, informações sobre os atores e assim por diante. Essa tática não serve apenas para constranger o LockBit – é também um alerta eficaz para os afiliados da gangue e para outras gangues de ransomware.
Captura de tela do site de vazamento do LockBit após a remoção, resumindo as atividades realizadas pelas autoridades. (Fonte: Aaron Walton.)
Esta atividade contra o LockBit representa uma grande vitória, mas o ransomware continua a ser um problema significativo, até mesmo do LockBit. Para combater melhor o ransomware, a comunidade de segurança cibernética precisa considerar algumas lições aprendidas.
Nunca confie em criminosos
De acordo com a Agência Nacional do Crime (NCA) do Reino Unido, houve casos em que uma vítima pagou ao LockBit, mas a gangue não excluiu os dados de seus servidores conforme prometido.
Isso não é incomum, é claro. Muitas gangues de ransomware não conseguem fazer o que dizem que farão, seja não fornecendo um método para descriptografar arquivos ou continuar armazenando dados roubados (em vez de excluí-los).
Isto destaca um dos principais riscos do pagamento de resgate: a vítima confia no criminoso para cumprir a sua parte no acordo. Revelar que o LockBit não estava excluindo os dados conforme prometido prejudica gravemente a reputação do grupo. Os grupos de ransomware precisam manter uma aparência de confiabilidade — caso contrário, suas vítimas não terão motivo para pagá-los.
É importante que as organizações se preparem para estas eventualidades e tenham planos em vigor. As organizações nunca devem presumir que a descriptografia será possível. Em vez disso, devem dar prioridade à criação de planos e procedimentos completos de recuperação de desastres, caso os seus dados sejam comprometidos.
Compartilhe informações para estabelecer conexões
Organizações de aplicação da lei, como o FBI dos Estados Unidos, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Serviço Secreto, estão sempre interessadas nas táticas, ferramentas, pagamentos e métodos de comunicação dos invasores. Esses detalhes podem ajudá-los a identificar outras vítimas visadas pelo mesmo invasor ou por um invasor que use as mesmas táticas ou ferramentas. Os insights coletados incluem informações sobre vítimas, perdas financeiras, táticas de ataque, ferramentas, métodos de comunicação e demandas de pagamento, o que, por sua vez, ajuda as agências de aplicação da lei a compreender melhor os grupos de ransomware. As informações também são usadas para apresentar queixa contra os criminosos quando eles são capturados. Se a aplicação da lei puder ver padrões nas técnicas utilizadas, isso revelará um quadro mais completo da organização criminosa.
No caso do ransomware como serviço (RaaS), as agências empregam um ataque duplo: perturbar tanto a equipe administrativa da gangue quanto suas afiliadas. A equipe administrativa é geralmente responsável por gerenciar o site de vazamento de dados, enquanto as afiliadas são responsáveis por implantar o ransomware e criptografar as redes. O pessoal administrativo capacita criminosos e, sem o seu afastamento, continuará a capacitar outros criminosos. Os afiliados trabalharão para outras gangues de ransomware se a equipe administrativa for interrompida.
Os afiliados usam infraestrutura que compraram ou acessaram ilegalmente. As informações sobre essa infraestrutura são expostas por suas ferramentas, conexões de rede e comportamentos. Detalhes sobre os administradores são expostos através do processo de resgate: Para que o processo de resgate aconteça, o administrador fornece um método de comunicação e um método de pagamento.
Embora o significado possa não parecer imediatamente valioso para uma organização, as autoridades policiais e os investigadores são capazes de aproveitar estes detalhes para expor mais sobre os criminosos por trás deles. No caso do LockBit, as autoridades policiais conseguiram usar detalhes de incidentes anteriores para planejar a interrupção da infraestrutura do grupo e de algumas afiliadas. Sem essas informações, recolhidas com a ajuda das vítimas dos ataques e das agências aliadas, a Operação Cronos provavelmente não teria sido possível.
É importante notar que as organizações não precisam ser vítimas para ajudar. Os governos estão ansiosos por trabalhar com organizações privadas. Nos EUA, as organizações podem juntar-se à luta contra o ransomware colaborando com a CISA, que formou a Joint Cyber Defense Collaborative (JCDC) para construir parcerias a nível mundial para partilhar informações críticas e oportunas. O JCDC facilita o compartilhamento bidirecional de informações entre agências governamentais e organizações públicas.
Essa colaboração ajuda tanto a CISA quanto as organizações a se manterem atualizadas sobre as tendências e identificarem a infraestrutura do invasor. Como demonstra a derrubada do LockBit, esse tipo de colaboração e compartilhamento de informações pode dar às autoridades uma vantagem crítica até mesmo contra os grupos de invasores mais poderosos.
Apresente uma Frente Unida Contra o Ransomware
Podemos esperar que outras gangues de ransomware tomem medidas contra o LockBit como um aviso. Mas, entretanto, continuemos a ser diligentes na segurança e monitorização das nossas próprias redes, partilhando informações e colaborando, porque a ameaça do ransomware ainda não acabou. As gangues de ransomware se beneficiam quando suas vítimas acreditam que estão isoladas — mas quando as organizações e as agências de aplicação da lei trabalham lado a lado para compartilhar informações, juntas elas podem ficar um passo à frente de seus adversários.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/lessons-from-the-lockbit-takedown
