Em um relatório atual, a Trend Micro analisa o cenário do ransomware e fornece uma visão sobre o impacto que a interrupção das atividades do LockBit tem sobre ele. O LockBit não foi completamente desmembrado, mas sua atividade foi fortemente reprimida e novos desenvolvimentos de códigos maliciosos foram descobertos e, portanto, inutilizados.
Em colaboração com a Agência Nacional do Crime Britânica (NCA), a Trend Micro conseguiu fornecer análises detalhadas das atividades do grupo de ransomware e interromper permanentemente toda a funcionalidade do malware. Desde 2022, LockBit e BlackCat têm estado consistentemente entre os provedores de Ransomware como serviço (RaaS) com mais descobertas. Globalmente, pode-se observar um aumento de grupos ativos de RaaS paralelo ao crescente número de vítimas.
🔎 As páginas de vazamento em vários endereços do LockBit Tor foram assumidas pelas autoridades. Porém, o grupo APT voltou com novos endereços (Imagem: Trend Micro).
A pesquisa de especialistas em segurança mostra que muitos agentes de ameaças de ransomware como serviço estão particularmente focados em organizações menores, que acreditam ter menos recursos para segurança de TI. No segundo semestre de 2023, as empresas com menos de 200 funcionários representaram a maioria das vítimas do LockBit (61%) e uma parcela significativa das vítimas do BlackCat (50%) em todo o mundo. No caso do grupo de ransomware Clop, mais de metade dos ataques no período do estudo (62 por cento) foram contra essas PME.
4º trimestre de 2023: O número de ataques continua a aumentar
O relatório revela que a Trend Micro detectou e bloqueou um total de quase 2023 milhões de ameaças de ransomware em todo o mundo nos níveis de e-mail, URL e arquivo no segundo semestre de 7,5. Isto representa um aumento de mais de 11% em comparação com os primeiros seis meses do ano. Os agentes de ransomware publicaram nos seus sites de fugas os dados de um total de cerca de 2.500 empresas que alegadamente se recusaram a pagar o resgate após um ataque bem-sucedido.
Isto corresponde a um aumento de mais de 26% de supostas vítimas de ransomware em todo o mundo em comparação com o primeiro semestre de 2023. O número de grupos RaaS ativos também aumentou mais de 15% no segundo semestre do ano.
LockBit foi a principal família de ransomware em todo o mundo, respondendo por 18% do número total de vítimas no terceiro trimestre e 22% no quarto trimestre. Seu foco ao longo de 2023 foi a América do Norte. No segundo semestre de 2023, 45 por cento dos seus ataques tiveram como alvo esta região, seguida pela Europa (26 por cento) e pela região Ásia-Pacífico (12 por cento).
O grupo de ransomware BlackCat também teve como alvo a América do Norte, com 58% dos seus ataques no segundo semestre de 2023. Seguida novamente pela Europa (17%) e pela região Ásia-Pacífico (14%). Os atores Clop mostram preferências geográficas semelhantes. Com quase 70 por cento, a América do Norte foi o foco no terceiro trimestre de 2023. No quarto trimestre, os incidentes concentraram-se exclusivamente nesta região. A Alemanha ocupa o primeiro lugar em ataques de ransomware na Europa, embora os números tenham caído ligeiramente no último trimestre.
Operação Cronos contra LockBit
A LockBit esteve envolvida em um quarto de todos os vazamentos de ransomware em 2023 e continuou a evoluir seu ransomware para permanecer na vanguarda da tecnologia. Trabalhando em estreita colaboração com a Agência Nacional de Crimes (NCA) do Reino Unido, a Trend Micro conseguiu fornecer inteligência sobre ameaças para uma análise detalhada do LockBit-NG-Dev, a próxima versão do ransomware LockBit ainda em desenvolvimento. A análise tornou toda a linha de produtos LockBit inadequada para fins criminosos. Esta interrupção coletiva de um dos principais participantes do ransomware chamada “Operação Cronos”, marca um passo significativo na luta global contra as ameaças cibernéticas.
Os principais resultados da operação Cronos contra LockBit
- Danos à reputação dos principais intervenientes: Dada a sua reputação manchada, a LockBit enfrenta desafios significativos na reconstrução das suas operações e redes de afiliados.
- Perturbação estratégica da infra-estrutura: A abordagem aprofundada da operação tornou extremamente difícil e demorada para os intervenientes reconstruirem os seus sistemas e reagruparem-se.
- Dissuasão eficaz: As informações sobre as atividades criminosas das afiliadas e os avisos subsequentes provavelmente desmantelaram todos os programas de afiliados da LockBit e enfraqueceram ainda mais a capacidade operacional do grupo.
- Maior segurança para empresas: As empresas se beneficiam dos insights fornecidos pela operação e do risco reduzido de serem atacadas por um grande player no mercado de ransomware.
“Estamos muito satisfeitos por termos conseguido apoiar com sucesso as autoridades policiais internacionais em seu trabalho contra o grupo LockBit com nossas análises de sua nova versão planejada”, explica Robert McArdle, Diretor da Equipe de Pesquisa de Ameaças Prospectivas da Trend Micro. “Ao estarmos um passo à frente destes agentes de ameaças com a nossa análise, conseguimos não só partilhar informações com as autoridades, mas também reforçar a proteção da nossa base global de clientes. Uma avaliação da operação de interrupção mostra que a inteligência global sobre ameaças dá uma contribuição valiosa para aumentar o nível de segurança.”
BlackCat também interrompeu massivamente
Semelhante ao LockBit, uma operação internacional de aplicação da lei liderada pelo FBI também conseguiu se infiltrar e interromper a infraestrutura do BlackCat. Em dezembro, a operação penetrou nos servidores da BlackCat e fechou o site de vazamento após apreender com sucesso centenas de pares de chaves para os sites Tor da BlackCat.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.