O Departamento de Justiça juntou-se hoje ao Reino Unido e a parceiros internacionais de aplicação da lei em Londres para anunciar a interrupção do grupo de ransomware LockBit, um dos grupos de ransomware mais ativos do mundo que tem como alvo mais de 2.000 vítimas, recebeu mais de US$ 120 milhões em resgate pagamentos e fez exigências de resgate totalizando centenas de milhões de dólares.
A Divisão Cibernética da Agência Nacional de Crimes do Reino Unido (NCA), trabalhando em cooperação com o Departamento de Justiça, o Federal Bureau of Investigation (FBI) e outros parceiros internacionais de aplicação da lei, interrompeu as operações da LockBit ao apreender vários sites públicos usados pela LockBit para se conectar ao infraestrutura da organização e assumindo o controle dos servidores usados pelos administradores do LockBit, interrompendo assim a capacidade dos atores do LockBit de atacar e criptografar redes e extorquir vítimas, ameaçando publicar dados roubados.
“Durante anos, os associados da LockBit implantaram esses tipos de ataques repetidas vezes nos Estados Unidos e em todo o mundo. Hoje, as autoridades policiais dos EUA e do Reino Unido estão a retirar-lhes as chaves da sua operação criminosa”, afirmou o Procurador-Geral Merrick B. Garland. “E vamos um passo além: também obtivemos chaves da infraestrutura LockBit apreendida para ajudar as vítimas a descriptografar seus sistemas capturados e recuperar o acesso aos seus dados. LockBit não é a primeira variante de ransomware que o Departamento de Justiça e seus parceiros internacionais desmantelaram. Não sera o ultimo.”
Além disso, a NCA, em cooperação com o FBI e parceiros internacionais de aplicação da lei, desenvolveu capacidades de desencriptação que podem permitir que centenas de vítimas em todo o mundo restaurem sistemas encriptados utilizando a variante do ransomware LockBit. A partir de hoje, as vítimas visadas por este malware são incentivadas a entrar em contato com o FBI em https://lockbitvictims.ic3.gov/ para permitir que as autoridades determinem se os sistemas afetados podem ser descriptografados com sucesso.
“As ações de hoje são mais um sinal do nosso compromisso de continuar a desmantelar o ecossistema que alimenta o crime cibernético, priorizando as perturbações e colocando as vítimas em primeiro lugar”, disse a procuradora-geral adjunta Lisa Monaco. “Usando todas as nossas autoridades e trabalhando ao lado de parceiros no Reino Unido e em todo o mundo, destruímos agora a espinha dorsal online do grupo LockBit, uma das gangues de ransomware mais prolíficas do mundo. Mas nosso trabalho não termina aqui: junto com nossos parceiros, estamos virando o jogo no LockBit – fornecendo chaves de descriptografia, desbloqueando dados de vítimas e perseguindo afiliados criminosos da LockBit em todo o mundo.”
O Departamento de Justiça também divulgou uma acusação obtida no Distrito de Nova Jersey acusando os cidadãos russos Artur Sungatov e Ivan Kondratyev, também conhecido como Bassterlord, de implantar o LockBit contra inúmeras vítimas nos Estados Unidos, incluindo empresas em todo o país na indústria manufatureira e outras indústrias, como bem como vítimas em todo o mundo na indústria de semicondutores e outras indústrias. Hoje, acusações criminais adicionais contra Kondratyev foram reveladas no Distrito Norte da Califórnia, relacionadas à sua implantação em 2020 de ransomware contra uma vítima localizada na Califórnia.
Finalmente, o Departamento também divulgou dois mandados de busca emitidos no Distrito de Nova Jersey que autorizaram o FBI a interromper vários servidores baseados nos EUA usados por membros do LockBit em conexão com a interrupção do LockBit. Conforme divulgado por esses mandados de busca, esses servidores foram usados pelos administradores do LockBit para hospedar a chamada plataforma “StealBit”, uma ferramenta criminosa usada pelos membros do LockBit para organizar e transferir dados das vítimas.
“Hoje, o FBI e nossos parceiros conseguiram interromper com sucesso o ecossistema criminoso LockBit, que representa uma das variantes de ransomware mais prolíficas do mundo”, disse o diretor do FBI, Christopher A. Wray. “Ao longo de anos de trabalho investigativo inovador, o FBI e nossos parceiros degradaram significativamente as capacidades dos hackers responsáveis por lançar ataques de ransomware contra infraestruturas críticas e outras organizações públicas e privadas em todo o mundo. Esta operação demonstra a nossa capacidade e compromisso em defender a segurança cibernética e a segurança nacional da nossa nação contra qualquer agente malicioso que procure impactar o nosso modo de vida. Continuaremos a trabalhar com os nossos aliados nacionais e internacionais para identificar, interromper e dissuadir ameaças cibernéticas e responsabilizar os perpetradores.”
De acordo com a acusação obtida no distrito de Nova Jersey, pelo menos desde janeiro de 2021, Sungatov supostamente implantou o ransomware LockBit contra as empresas vítimas e tomou medidas para financiar ataques LockBit adicionais contra outras vítimas. Sungatov supostamente implantou o ransomware LockBit contra empresas de manufatura, logística, seguros e outras empresas localizadas em Minnesota, Indiana, Porto Rico, Wisconsin, Flórida e Novo México. Além disso, já em agosto de 2021, Kondratyev também começou a supostamente implantar o LockBit contra várias vítimas. Kondratyev, operando sob o pseudônimo online “Bassterlord”, supostamente implantou o LockBit contra alvos municipais e privados em Oregon, Porto Rico e Nova York, bem como alvos adicionais localizados em Cingapura, Taiwan e Líbano. Tanto Sungatov quanto Kondratyev teriam se juntado à conspiração global LockBit, também supostamente por ter incluído os cidadãos russos Mikhail Pavlovich Matveev e Mikhail Vasiliev, bem como outros membros do LockBit, para desenvolver e implantar o ransomware LockBit e para extorquir pagamentos de empresas vítimas.
“A acusação de hoje, revelada como parte de uma ação global coordenada contra o grupo de ransomware mais ativo do mundo, eleva para cinco o número total de membros do LockBit acusados por meu escritório e nossos parceiros do FBI e da Seção de Crimes Informáticos e Propriedade Intelectual por seus crimes, ” disse o procurador dos EUA Philip R. Sellinger para o distrito de Nova Jersey. “E, mesmo com a atual interrupção do LockBit, não vamos parar por aí. Nossa investigação continuará e continuamos determinados como sempre a identificar e cobrar todos os membros da LockBit – desde seus desenvolvedores e administradores até seus afiliados. Iremos destacá-los como criminosos procurados. Eles não vão mais se esconder nas sombras.”
Com a acusação revelada hoje, um total de cinco membros do LockBit foram acusados por sua participação na conspiração LockBit. Em maio de 2023, duas acusações foram reveladas em Washington, DC, e no distrito de Nova Jersey, acusando Matveev de usar diferentes variantes de ransomware, incluindo LockBit, para atacar inúmeras vítimas nos Estados Unidos, incluindo o Departamento de Polícia Metropolitana de Washington, DC. Matveev é atualmente alvo de uma recompensa de até US$ 10 milhões por meio do Programa de Recompensas ao Crime Organizado Transnacional do Departamento de Estado dos EUA, com informações aceitas através do site de denúncias do FBI em https://tips.fbi.gov . Em novembro de 2022, uma queixa criminal foi apresentada no distrito de Nova Jersey acusando Vasiliev de sua participação na campanha global de ransomware LockBit. Vasiliev, que tem dupla nacionalidade russo-canadense, está atualmente sob custódia no Canadá, aguardando extradição para os Estados Unidos. Em junho de 2023, o cidadão russo Ruslan Magomedovich Astamirov foi acusado por queixa criminal no distrito de Nova Jersey por sua participação na conspiração LockBit, incluindo a implantação do LockBit contra vítimas na Flórida, Japão, França e Quênia. Astamirov está atualmente sob custódia nos Estados Unidos aguardando julgamento.
Kondratyev, de acordo com a acusação obtida no Distrito Norte da Califórnia e hoje divulgada, também é acusado de três acusações criminais decorrentes do uso do Sodinokibi, também conhecido como REvil, variante de ransomware para criptografar dados, exfiltrar informações de vítimas e extorquir um pagamento de resgate de uma vítima corporativa com sede no condado de Alameda, Califórnia.
A variante do ransomware LockBit apareceu pela primeira vez por volta de janeiro de 2020 e, levando à operação de hoje, tornou-se uma das variantes mais ativas e destrutivas do mundo. Os membros do LockBit executaram ataques contra mais de 2.000 vítimas nos Estados Unidos e em todo o mundo, ganhando pelo menos centenas de milhões de dólares americanos em pedidos de resgate e recebendo mais de US$ 120 milhões em pagamentos de resgate. A variante do ransomware LockBit, como outras variantes importantes do ransomware, opera no modelo “ransomware-as-a-service” (RaaS), no qual os administradores, também chamados de desenvolvedores, projetam o ransomware e recrutam outros membros – chamados afiliados – para implantá-lo. e manter um painel de software online chamado “painel de controle” para fornecer aos afiliados as ferramentas necessárias para implantar o LockBit. Os afiliados, por sua vez, identificam e acessam ilegalmente sistemas de computador vulneráveis, às vezes por meio de hackers ou, outras vezes, comprando credenciais de acesso roubadas de terceiros. Usando o painel de controle operado pelos desenvolvedores, os afiliados implantam o LockBit no sistema do computador da vítima, permitindo-lhes criptografar e roubar dados pelos quais um resgate é exigido para descriptografar ou evitar a publicação em um site público mantido pelos desenvolvedores do LockBit, geralmente chamado de local de vazamento de dados.
O FBI Newark Field Office está investigando a variante do ransomware LockBit.
Os procuradores assistentes dos EUA Andrew M. Trombly, David E. Malagold e Vinay Limbachia do Distrito de Nova Jersey e os promotores de julgamento Jessica C. Peck, Debra Ireland e Jorge Gonzalez da Seção de Crimes Informáticos e Propriedade Intelectual da Divisão Criminal estão processando as acusações contra Sungatov e Kondratyev revelados hoje no distrito de Nova Jersey. O Procurador de Ligação para a Criminalidade Cibernética do Departamento de Justiça junto da Eurojust e do Gabinete de Assuntos Internacionais também prestou assistência significativa.
A interrupção anunciada hoje foi resultado de uma operação conjunta entre o FBI; Unidade Regional de Crime Organizado do Sudoeste da NCA; Comando do Ciberespaço da Gendarmerie Nationale da França; o Landeskriminalamt Schleswig-Holstein da Alemanha e o Bundeskriminalamt; Gabinete Federal de Polícia da Suíça, Ministério Público do Cantão de Zurique e Polícia Cantonal de Zurique; Agência de Política Nacional do Japão; Polícia Federal Australiana; Polismyndiguetens da Suécia; Policia Montada Real Canadense; Politie Dienst Regionale Recherche Oost-Brabant dos Países Baixos; Poliisi da Finlândia; Europol; e Eurojust.
O escritório de campo do FBI em Phoenix e a procuradora assistente dos EUA, Helen L. Gilbert, estão investigando e processando o caso contra Kondratyev no Distrito Norte da Califórnia.
Além disso, o Gabinete de Controlo de Ativos Estrangeiros do Departamento do Tesouro anunciou hoje que está a designar Sungatov e Kondratyev para os seus papéis no lançamento de ataques cibernéticos.
Conforme mencionado acima, as vítimas do LockBit devem entrar em contato com o FBI em https://lockbitvictims.ic3.gov para obter mais informações. Detalhes adicionais sobre como proteger redes contra o ransomware LockBit estão disponíveis em StopRansomware.gov. Isso inclui os comunicados da Agência de Segurança Cibernética e de Infraestrutura AA23-325A, AA23-165A e AA23-075A.
Fonte: Gabinete de Relações Públicas dos EUA