O que é um ataque de força bruta?O que é um ransomware?
Se o esquema de extorsão agora é triplo, o anterior era duplo? Era. Muitos grupos de ransomware se especializaram em paralisar sistemas invadidos e, ao mesmo tempo, vazar dados sigilosos quando a vítima não paga um resgate. Na nova estratégia, além das mencionadas abordagens, também haverá ataques DDoS (ataque de negação de serviço distribuído).
Antes, o contexto
De acordo com o BleepingComputer, foi o que aconteceu com a Entrust — ironicamente, uma companhia especializada em segurança digital. Ou melhor, era para ter acontecido. Uma reação inesperada impediu o vazamento de dados. Em 18 de junho, a Entrust teve dados internos capturados em um ataque realizado com o LockBit. Como o resgate não foi pago, o grupo por trás do ransomware ameaçou vazar os dados coletados em 19 de agosto. No entanto, a página de vazamento do grupo na dark web sofreu um ataque DDoS na ocasião. Um membro da gangue que se identifica como LockBitSupp declarou que a página recebeu mais de 400 requisições por segundo oriundas de mais de mil computadores. Até existe a possibilidade de o ataque DDoS ter sido realizado por um grupo rival. Mas, dadas as circunstâncias, é mais provável que a ação tenha sida coordenada pela própria Entrust ou por especialistas contratados pela companhia. A empresa chegou a ser questionada pelo TechCrunch sobre a autoria do ataque DDoS, mas não houve resposta. O fato é que o servidor atacado ficou tão sobrecarregado que o vazamento de dados não foi adiante na ocasião.
LockBit não se deu por vencido
Se de um lado o episódio pegou o grupo de surpresa, do outro, deixou uma lição. Dias depois, LockBitSupp revelou que a infraestrutura da gangue foi reorganizada para impedir novas paralisações por ataques DDoS. No caso em questão, além de vazar um torrent dos supostos dados da Entrust em um site próprio, o grupo o disponibilizou em pelo menos dois serviços de compartilhamento de arquivos. Além disso, a partir de agora, a gangue vai usar uma abordagem de múltiplos links para vazar dados. Isso significa que, em vez de um site que concentra todos os vazamentos, o grupo terá um link dedicado para cada um deles, não divulgado previamente. Para completar, o grupo aposta em redundância. Os servidores de vazamentos serão espelhados e os dados capturados poderão ser vazados até na clearnet (a web “normal”, que todos nós acessamos). Mas a cartada final está justamente em ataques DDoS. A ação do tipo que surpreendeu o grupo por trás do LockBit inspirou o uso da técnica como mecanismo adicional de extorsão. LockBitSupp revelou que está procurando especialistas no assunto. “Eu senti o poder dos dudos [ataques DDoS] e como eles revigoram e fazem a vida mais interessante”, declarou em um fórum hacker. Não que ataques DDoS já não tenham sido usados concomitantemente a ações de ransomwares. Mas a ideia é ter uma arma a mais para pressionar as vítimas a pagarem o resgate: sequestro de sistemas + vazamento de dados + DDoS. É de se presumir que os ataques de negação de serviço serão direcionados a serviços da vítima não afetados diretamente pelo LockBit.
O ransomware LockBit
O LockBit é um ransomware está em atividade pelo menos desde 2019. O grupo responsável pela praga costuma seguir a tática do “Ransomware as a Service”, quando o malware é fornecido para que terceiros efetuem ataques com ele. Organizações brasileiras estão entre as mais atingidas pelo ransomware. Uma delas foi a Secretaria de Fazenda do Rio de Janeiro, em abril.
