Os policiais do crime cibernético que ainda comemoram a derrubada do LockBit deveriam colocar o champanhe de volta no gelo porque os hackers ligados à Rússia ressurgiram – e declararam apoio a Donald Trump.
Muitas vezes descrito como o “grupo de ransomware mais ativo do mundo”, o LockBit foi interrompido na última terça-feira por uma coalizão internacional de agências de aplicação da lei.
De acordo com a Europol, a força-tarefa infiltrou-se na “plataforma principal e na infraestrutura crítica” da gangue. Membros do LockBit também foram presos e acusados. A Agência Nacional do Crime da Grã-Bretanha disse que a armação comprometeu “todo o seu empreendimento criminoso”.
Mas menos de uma semana depois, o LockBit ressurgiu na Dark Web. Num novo site, a gangue compartilhou uma aparente lista de vítimas corporativas, uma explicação para a derrubada e aquele endosso duvidoso a Trump.
Em um mensagem longa postado na segunda-feira, o presumível líder do grupo culpou sua “negligência pessoal e irresponsabilidade” pela remoção.
Eles também disseram que a apreensão foi desencadeada pelo roubo recente de dados dos sistemas governamentais no condado de Fulton, Geórgia.
“Os documentos roubados contêm muitas coisas interessantes e processos judiciais de Donald Trump que podem afetar as próximas eleições nos EUA”, afirmava a mensagem.
Depois veio a declaração política suspeita.
“Pessoalmente, votarei em Trump”, disseram.
Os especialistas em segurança cibernética, no entanto, duvidam que o líder da LockBit seja cidadão americano. Mesmo assim, eles estão extremamente preocupados com o retorno do grupo.
O que vem por aí para o LockBit?
Os analistas detectaram sinais claros de que a LockBit está retomando as operações.
Tim Geschwindtassociado sênior da equipe de resposta a incidentes cibernéticos da consultoria de segurança S-RM, disse que os hackers recuperaram sua infraestrutura no fim de semana. Para isso, eles usaram servidores de backup que não foram comprometidos durante a remoção da semana passada.
Com a gangue novamente aberta aos negócios, os afiliados da LockBit estão voltando ao trabalho. Vários novos incidentes foram relatados nas últimas 24 a 48 horas, disse Geschwindt, enquanto novas vítimas aparecem em novos sites.
“Esperamos que o LockBit provavelmente retorne aos níveis de volume de ataque anteriores à remoção; no entanto, pode levar várias semanas até que resolvam os problemas com a nova infra-estrutura e aumentem a sua actividade”, disse Geschwindt à TNW.
“Em última análise, apesar de várias grandes remoções em 2023 e no início de 2024, não vimos uma grande redução no número de ataques globais de ransomware ou pagamentos de resgate.”