Barracuda full logo

LockBit para o FBI: 'Vocês não me podem parar'

Tópicos:
27 fev. 2024
|
Christine Barry

Uma situação estranha e algo triste relacionada com o LockBit desenvolveu-se nos últimos dias. @LockBitSupp, o presumível líder do prolífico grupo de ransomware LockBit, publicou uma resposta formal à Operação Cronos e ao FBI. Num documento de quase 3.000 palavras, LockBitSupp publicou o seu relato do que aconteceu, o que foi apreendido, o que resta e o que aprendeu. Temos o contexto sobre a Operação Cronos e o LockBit aqui.

Parafraseei os pontos notáveis do documento e incluí algumas citações diretas do autor. Esta seção inclui comentários da carta de resposta do LockBit, não da Barracuda ou de outras fontes terceiras.

O que aconteceu?

  • Os servidores LockBit foram provavelmente comprometidos devido a vulnerabilidades no PHP 8.1.2. Os servidores que executavam esta versão mais antiga do PHP foram os únicos servidores afetados.
  • O compromisso foi provavelmente devido a CVE-2023-3824 mas poderia ter sido outra coisa. Os servidores agora executam PHP 8.3.3, e a LockBit recompensará a primeira pessoa que encontrar e relatar um CVE nesta versão. A LockBit também oferece um programa de recompensas por bugs para apoiar a segurança da operação.
  • O FBI agiu contra o LockBit devido ao compromisso do Condado de Fulton, na Geórgia. Os documentos roubados do Condado de Fulton contêm informações sobre "os casos judiciais de Donald Trump que podem afetar as próximas eleições nos EUA." As negociações com o Condado de Fulton tinham estagnado. Os documentos deveriam ter sido divulgados no dia da apreensão, o que explica o momento do "ataque do FBI."

"... durante 5 anos a nadar em dinheiro tornei-me muito preguiçoso ... Devido à minha negligência pessoal e irresponsabilidade, relaxei e não actualizei o PHP a tempo."

O que foi apreendido?

  • O FBI afirma ter apreendido muitos ativos do LockBit, incluindo 1000 decifradores. Isto representa cerca de 2,5% dos decifradores do LockBit, a maioria dos quais estava protegida e não pode ser usada pelo FBI.
  • O FBI apreendeu os apelidos gerados de vários parceiros do LockBit. Esses apelidos não estão associados a parceiros reais do LockBit e não levarão à sua identificação. O FBI pode acreditar que prendeu parceiros do LockBit com base nesses apelidos, mas isso é incorreto.
  • O código-fonte do painel web apreendido pelo FBI era a única coisa de valor. O painel terá agora de ser descentralizado em vários servidores para evitar compromissos futuros.

“O vazamento do código-fonte do painel também estava a acontecer com os concorrentes, isso não os impediu de continuar o seu trabalho, não me vai impedir a mim também.”

O que resta?

  • Dezenas de domínios operacionais do LockBit estão listados no documento, e a maioria estava em funcionamento antes da apreensão.
  • LockBit continuará a divulgar dados roubados das empresas atacadas. Após ser adicionada proteção adicional, não haverá "nenhuma hipótese" de as chaves de desencriptação apreendidas funcionarem.
  • Os dados do Condado de Fulton serão publicados se o resgate não for pago até 2 de março de 2024.

"Novos afiliados podem trabalhar no meu programa de afiliados se tiverem uma reputação nos fóruns, puderem provar que são pentesters com pagamento posterior, ou fazendo um depósito de 2 bitcoins"

Lições aprendidas e conselhos para outros:

  • Não atualize apenas o PHP. Mude de anfitriões, altere as palavras-passe e migre tudo. Não há garantia de que o FBI não tenha um zero-day ou outra forma de voltar a hackear servidores comprometidos.
  • A lavagem de criptomoeda de alta qualidade protege os operadores de ransomware.

"Que conclusões podem ser tiradas desta situação? Muito simples, que preciso atacar o setor .gov com mais frequência e mais intensidade, é após tais ataques que o FBI será forçado a mostrar-me fraquezas e vulnerabilidades e tornar-me mais forte. Ao atacar o setor .gov, pode saber-se exatamente se o FBI tem a capacidade de nos atacar ou não."

LockBitSupp também passa algum tempo a provocar as forças da lei…

O designer do FBI devia trabalhar para mim, tens bom gosto, especialmente gostei do novo preloader... Pergunto-me porque é que os blogs alpha, revil, hive não foram desenhados tão bem?

“… bela publicidade do FBI, que é que os meus afiliados e eu ganhamos juntos centenas de milhões de dólares, e que nenhum FBI com os seus assistentes pode assustar-me e parar-me, a estabilidade do serviço é garantida por anos de trabalho contínuo.”

… e a queixar-se deles.

… seria interessante ver o vídeo da detenção, onde nas suas casas, Lamborghinis e portáteis com provas do seu envolvimento nas nossas atividades, mas de alguma forma acho que não o veremos … o FBI prendeu pessoas aleatórias para obter um certificado de mérito da gestão

"Eu nunca doei a ninguém, seria bom se o FBI mostrasse a transação para que eu pudesse verificar na blockchain de onde tiraram tais conclusões e por que afirmam que fui eu quem fez isso"

Podes acusar-me de qualquer coisa sem provar nada, e não há maneira de eu refutar, porque não há transações nem carteiras de bitcoin.

Há muito nesta declaração, mas grande parte é redundante, e tudo foi escrito por um criminoso a tentar proteger a sua operação de ransomware para não perder dinheiro. Duvido que o público possa saber o que é verdade, mas devemos assumir que nenhuma ameaça de ransomware é completamente encerrada. As pessoas que não são presas continuarão a operar, e os recursos não apreendidos serão vendidos ou partilhados com outros agentes de ameaça. Se construíssemos uma árvore genealógica para o ransomware, encontraríamos os mesmos nomes em vários lugares. Se recuarmos o suficiente, talvez encontremos um disquete por volta de 1989. Quando a força-tarefa da Operação Cronos anunciou as apreensões do LockBit, era razoável assumir que o LockBit não tinha desaparecido. O FBI referiu-se à sua operação como uma ‘interrupção,’ e @LockBitSupp disse-nos que chegámos tarde demais para o parar. Como não podemos saber exatamente o que é verdade ou falso, vamos apenas desvendar algumas das alegações na refutação de LockBitSupp:

Reivindicação: LockBit roubou dados sobre a acusação de Donald Trump na Geórgia

LockBit já divulgou cerca de duas dúzias de ficheiros alegadamente roubados do Condado de Fulton. A divulgação de documentos antes da negociação do resgate é comum porque mostra à vítima e a outros atores de ameaças que a ameaça é real. Brian Krebs do KrebsOnSecurity aponta-nos para a reportagem de George Chidi do The Atlanta Objective.

De acordo com Chidi, os ficheiros divulgados dizem incluir:

  • Um registo selado relacionado com um caso de abuso infantil.
  • Uma moção selada no julgamento por homicídio de Juwuan Gaston a exigir que o estado entregue as identidades dos informadores confidenciais.
  • As identidades dos jurados que servem no julgamento do rapper Jeffery “Young Thug” Williams.

“As capturas de ecrã sugerem que os hackers poderão dar a qualquer advogado que defenda um caso criminal no condado um ponto de partida para argumentar que as provas foram contaminadas ou que as testemunhas foram intimidadas, e que a divulgação de informações confidenciais comprometeu os casos,” Chidi escreveu. “O juiz Ural Glanville tem, segundo me disseram os funcionários, trabalhado intensamente nos bastidores nas últimas duas semanas para gerir o desastre em desenvolvimento.”

 

LockBit publica o Condado de Fulton, Geórgia no seu site de exposição de vítimas

 

LockBitSupp ainda não provou que possui dados sobre a acusação de Trump, mas os casos Gaston, Williams e Trump estão todos no Tribunal Superior do Condado de Fulton.

Reivindicação: A apreensão pelo FBI tinha como objetivo parar a fuga de dados relacionados com Trump

O Departamento Federal de Investigação dos EUA tem vindo a visar o LockBit há anos, e a declaração da Europol referiu uma "infiltração de meses" no grupo. O ataque do LockBit ao Condado de Fulton foi descoberto a 27 de janeiro de 2024 e continuou durante semanas antes de a Operação Cronos ser anunciada a 20 de fevereiro. O Condado de Fulton já tinha dois prazos anteriores para a violação. Aqui está uma breve cronologia:

  • Final de janeiro: o LockBit reivindica a responsabilidade pelo ataque ao Condado de Fulton, que derrubou muitos sistemas do condado.
  • Início de fevereiro: As autoridades do Condado de Fulton reconhecem a intrusão.
  • Meados de fevereiro: LockBit publica capturas de ecrã de documentos e informações aparentemente legítimos do condado sobre servidores mantidos pelo condado. O condado recebe um prazo até 16 de fevereiro de 2024, às 5:47:29 UTC, para pagar o resgate e evitar a publicação dos dados roubados. Esta publicação foi posteriormente removida do site do LockBit sem explicação. As autoridades do condado disseram mais tarde que não pagaram aos hackers.
  • 20 de fevereiro: Os sites da LockBit são apreendidos, a Operação Cronos é revelada, e duas pessoas são detidas e acusadas de afiliação à LockBit. LockBitSupp publica no X (anteriormente Twitter) que "o mundo percebeu o perigo tarde demais."
  • 24 de fevereiro: LockBitSupp anuncia que o grupo está operacional novamente e tem novos cronómetros de contagem decrescente para o Condado de Fulton e outras vítimas. LockBit agora diz que o prazo para o Condado de Fulton é 2 de março.

É provável que as autoridades policiais queiram impedir que documentos confidenciais sejam divulgados, especialmente no que diz respeito a questões legais de um ex-Presidente dos EUA. Parece menos provável que essa seja a razão para o momento da Operação Cronos. Em setembro de 2023, investigadores anunciaram que a LockBit era responsável por um em cada seis ataques a escritórios do governo dos EUA. Teriam as autoridades policiais e federais esperado se a LockBit pudesse ter sido interrompida mais cedo?

Brian Krebs também questiona esta afirmação:

...se a NCA e o FBI realmente acreditassem que o LockBit nunca eliminou os dados das vítimas, teriam de assumir que o LockBit ainda teria pelo menos uma cópia de todos os seus dados roubados escondida em algum lugar seguro.

E até mesmo @vxunderground rejeita a alegação:

 

VX Underground sobre o tempo da Operação Cronos

 

Alegação: As autoridades não conhecem a identidade de LockBitSupp

Isto foi publicado nos servidores do LockBit após o anúncio da Operação Cronos:

 

FBI afirma saber a identidade de LockBitSupp

 

A 23 de fevereiro, @vxunderground publicou que os operativos do LockBit negaram trabalhar com o FBI e não acreditavam que as autoridades conhecessem as suas identidades:

 

VX Underground publica resposta de LockBit às alegações de identidade do FBI

 

LockBitSupp também afirma repetidamente que o FBI prendeu “pessoas aleatórias” e que as autoridades teriam publicado a sua identidade se pudessem. KrebsOnSecurity também entrou em contacto com LockBitSupp usando as informações do ToX Messenger na carta de resposta:

Quando questionado sobre por que tinha tanta certeza de que o FBI não conhece a sua identidade real, LockBitSupp foi mais preciso.

"Não tenho a certeza de que o FBI não sabe quem eu sou," disse ele. "Apenas acredito que nunca me vão encontrar."

O objetivo de "sabemos quem ele é" provavelmente não tem nada a ver com a sua identidade e tudo a ver com a redução da sua capacidade de recrutar afiliados e parceiros. Sem os afiliados e a infraestrutura ampliada, LockBit já não é a ameaça que era antes.

O que fazemos agora?

Mantenha-se vigilante. Esteja atento a coisas como ofertas falsas de chaves de desencriptação LockBit. Estas ofertas podem ser ataques de phishing usando websites, redes sociais ou e-mails com anexos maliciosos. Outros ataques como anúncios web maliciosos e downloads drive-by podem ser usados da mesma forma. Siga as diretrizes das autoridades legais para aceder a uma chave de desencriptação LockBit.

Se receber um link para chaves de desencriptação gratuitas, recompensas do FBI ou qualquer outra coisa estranha relacionada com o LockBit, reporte-o ao seu administrador de sistema. Se estiver a usar Barracuda Email Protection, poderá utilizar o Barracuda Outlook Add-In para isso.

Todas as pessoas e empresas continuam em risco de LockBit e outros ataques. A Barracuda recomenda uma abordagem de três passos para se proteger contra ransomware:

  • Proteja as suas credenciais.
  • Proteja as suas aplicações.
  • Faça backup dos seus dados.

Também oferecemos uma plataforma completa de cibersegurança que protege a sua empresa contra ameaças avançadas e ataques automatizados.

Para saber mais sobre atores de ameaças específicos e violações de dados, siga o nosso blog aqui.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
 Ameaças internas e rotatividade de funcionários: O que precisa saber
Ameaças internas e rotatividade de funcionários: O que precisa saber
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.