Uma operação internacional coordenada por agências de segurança do Reino Unido, Estados Unidos e Europa resultou na interrupção massiva das operações do Lockbit, um dos grupos de ransomware mais ativos e perigosos do mundo. A ação, denominada "Operação Cronos", representa um dos maiores golpes já aplicados contra a infraestrutura do cibercrime global e contou com o apoio de autoridades brasileiras.

O que é o Lockbit?

O Lockbit é uma variante de ransomware que opera sob o modelo Ransomware como Serviço (RaaS). Desde seu surgimento em 2019, o grupo recrutou dezenas de afiliados que utilizam sua plataforma para realizar ataques a grandes empresas, hospitais, escolas e órgãos governamentais em todo o mundo. Em troca, os desenvolvedores recebem uma porcentagem dos resgates pagos pelas vítimas.

O grupo é conhecido por sua agressividade e por empregar a tática de "dupla extorsão": além de criptografar os dados da vítima, os criminosos ameaçam vazar as informações roubadas na dark web se o resgate não for pago. Estima-se que o Lockbit tenha causado mais de US$ 120 milhões em prejuízos confirmados, com pedidos de resgate que frequentemente ultrapassam dezenas de milhões de dólares.

Cronologia do Lockbit

O grupo passou por diversas fases desde sua criação. Em 2019, surgiu o Lockbit 1.0, ainda em estágio inicial de desenvolvimento. Em 2021, o lançamento do Lockbit 2.0, também conhecido como Lockbit Black, trouxe melhorias significativas em velocidade de criptografia e ferramentas de evasão de soluções de segurança. Já em 2022, o Lockbit 3.0 (Lockbit Green) introduziu um sistema de bug bounty próprio, convidando hackers a encontrar falhas em seu código em troca de recompensas. Em 2023, o grupo atingiu o auge, sendo responsável por mais de 25% de todos os ataques de ransomware no mundo, antes de se tornar o alvo principal da Operação Cronos em fevereiro de 2024.

A Ofensiva da Operação Cronos

Liderada pela Agência Nacional do Crime do Reino Unido (NCA) e com a participação do FBI, do Departamento Federal de Polícia da Suíça, da Polícia Federal da Alemanha, da Europol e da Polícia Federal do Brasil, a Operação Cronos foi o resultado de um longo trabalho de infiltração e monitoramento da rede do Lockbit.

Durante a operação, as autoridades conseguiram apreender mais de 200 contas de criptomoedas ligadas ao grupo, tomar o controle de 34 servidores utilizados para gerenciar os ataques e substituir os sites do Lockbit na dark web por um aviso oficial informando que a infraestrutura estava sob controle policial. Uma das ações mais engenhosas foi a criação de chaves de descriptografia a partir dos dados apreendidos, permitindo que dezenas de vítimas recuperassem seus arquivos sem pagar resgate.

Impacto no Mundo do Cibercrime

A Operação Cronos não apenas interrompeu as operações criminosas, como também expôs o funcionamento interno do grupo. As autoridades divulgaram dados internos, incluindo chats entre os afiliados e a identificação de vários administradores. Isso gerou uma crise de confiança dentro do ecossistema criminoso, com muitos afiliados temendo serem os próximos a serem identificados e presos.

Embora o grupo tenha tentado relançar suas operações dias depois com novos servidores, a credibilidade do Lockbit foi severamente abalada. Especialistas em segurança digital apontam que a operação serve como um modelo para futuras ações coordenadas contra o cibercrime, demonstrando que a cooperação internacional pode superar o anonimato que sustenta essas organizações.

O Papel do Brasil na Operação

A Polícia Federal brasileira (PF) teve um papel ativo na investigação, auxiliando na identificação de vítimas brasileiras e no rastreamento de transações financeiras. O Brasil é um dos países mais afetados por ataques de ransomware na América Latina, e a participação na Operação Cronos demonstra a importância da cooperação internacional no enfrentamento a crimes cibernéticos transnacionais. Empresas brasileiras que foram atacadas pelo Lockbit puderam se beneficiar das chaves de descriptografia recuperadas durante a ação.

Perguntas Frequentes (FAQ)

O Lockbit foi completamente eliminado?

A infraestrutura principal do Lockbit foi desmantelada, e seus administradores estão sob investigação internacional. No entanto, o ecossistema do cibercrime é resiliente, e existe a possibilidade de que o grupo tente se reconstruir. A Operação Cronos, no entanto, removeu a camada de confiança que sustentava o grupo, tornando um eventual retorno muito mais difícil para os criminosos.

O que as vítimas do Lockbit devem fazer?

As vítimas do Lockbit são encorajadas a entrar em contato com as autoridades locais e com a NCA através dos canais oficiais. Muitas chaves de descriptografia foram recuperadas, e as agências policiais estão trabalhando para devolver os dados às vítimas que colaborarem com a investigação.

Como as empresas podem se proteger contra ransomware?

Manter backups regulares offline, atualizar software e sistemas operacionais, utilizar autenticação multifator (MFA), segmentar redes internas e realizar treinamentos de conscientização em segurança para funcionários são as principais recomendações contra ataques de ransomware. A prevenção ainda é a melhor defesa contra esse tipo de ameaça.