A ameaça global do Ransomware e a desarticulação do LockBit
Em uma gélida manhã de inverno polonês, Varsóvia acorda sob um manto de neve que reflete a luz pálida do sol, ainda tímido no horizonte. As ruas, normalmente vibrantes, estão silenciosas, ao fundo ouve-se apenas o som abafado dos passos dos poucos transeuntes que se aventuram fora de casa, suas respirações formando pequenas nuvens de vapor no choque com o ar frio. As árvores, despidas de suas folhas, erguem-se como sentinelas cobertas de geada, testemunhas silenciosas do despertar da cidade.
Em um pequeno apartamento, levemente aquecido, um indivíduo senta-se diante de um computador, a luz da tela iluminando seu rosto concentrado. Este é um hacker, conhecido nos círculos virtuais por seu talento e habilidade, mas ainda à procura de seu grande golpe, aquele projeto que o colocaria no mapa do ciberespaço. Enquanto observa pela janela o amanhecer que luta contra a névoa da manhã, uma ideia começa a se formar em sua mente. Inspirado por aquela estranha quietude, imagina um software que seria tão implacável e penetrante quanto o frio que se infiltra por todas as frestas e cantos.
Este software seria um ransomware, pensa ele, mas não um ransomware comum. Teria de ser algo novo, que pudesse se espalhar com a eficiência do vento gelado, criptografando dados e paralisando sistemas com uma precisão fria. Em um vislumbre surge uma operação que funcionaria como um serviço, permitindo a outros criminosos alugar o uso do seu software em troca de uma parte do resgate. Um verdadeiro Ransomware-as-a-Service (RaaS).
A ideia o aquece contra o frio que se insinua através das paredes de seu apartamento. Ele começa a trabalhar, digitando freneticamente, sua mente tão focada que mal percebe a passagem do tempo. À medida que o dia avança e a cidade desperta para a rotina, o engenhoso hacker já está mergulhado em seu projeto, esboçando o framework do que viria a ser conhecido como LockBit.
Neste cenário hipotético, ainda não há confirmação de quem seja o líder do grupo LockBit, a manhã fria na Polônia não é apenas um pano de fundo, mas um catalisador para a criação de um dos mais notórios grupos de ransomware do mundo digital, que surge no final de 2019, inicialmente se autodenominando ransomware “ABCD”. Desde então, nota-se seu rápido crescimento até que, em 2022, torna-se a variante de ransomware mais implantada em todo o mundo.
Essa organização criminosa cibernética opera sob um modelo de “ransomware como serviço” (Ransomware-as-a-Service - RaaS), no qual uma equipe central cria o malware e administra o site, enquanto licencia seu código para afiliados que realizam os ataques, caracterizando a estrutura criminosa e a divisão de tarefas, exigida pelo art. 1º, §1º, da Lei 12.850, de 2 de agosto de 2013, conhecida como Lei do Crime Organizado.
Essa estrutura permite que o grupo recrute centenas de afiliados para conduzir operações de ransomware usando as ferramentas e infraestrutura do LockBit, com os pagamentos de resgate sendo divididos entre a equipe de comando e controle e os demais membros afiliados.
Considerado um dos grupos de ransomware mais produtivos e destrutivos do mundo, o LockBit costuma ter como alvo infraestruturas críticas e grandes grupos industriais, com pedidos de resgate que variam entre US$ 5,4 e 75,4 milhões (AFP, 2024), o que levou o Departamento de Justiça dos Estados Unidos, em novembro de 2022, a classificar o malware como uma das “variantes mais ativas e destrutivas do mundo.” (AFP, 2024).
O LockBit ganhou fama após sequestrar arquivos e sistemas de grandes empresas, gerando bilhões de dólares de prejuízos em todo o mundo (Gonçalves, 2024; Europol, 2024). A organização também se notabilizou por utilizar novos métodos de pressão contra vítimas para obrigar ao pagamento de suas exigências, a exemplo de ataques distribuídos de negação de serviço (DDoS) e postagem de dados roubados na Dark Web (Europol, 2024).
Em fevereiro de 2024, contudo, uma operação internacional liderada pela Agência Nacional do Crime (NCA) do Reino Unido, FBI (EUA) e pela Força Tarefa Internacional Operação Cronos, movimentou 11 países para derrubar o grupo.
Já considerada a maior operação mundial contra o ransomware, a atuação conjunta desmantelou parte da infraestrutura do LockBit, com prisão de dois membros da organização criminosa na Polônia e na Ucrânia, a pedido das autoridades judiciais francesas, e identificou/removeu mais de 14 mil contas ilegítimas responsáveis pelas ações de exfiltração ou infraestrutura do grupo criminoso.
Como consequência da operação merece destaque que trinta e quatro servidores computacionais utilizados pelo grupo na Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido foram derrubados, mais de 200 contas de criptomoedas ligadas à organização criminosa foram congeladas e toda a infraestrutura técnica que permitia operar o serviço passou ao controle da Agência Nacional de Crime (NCA) do Reino Unido, incluindo o sítio eletrônico que possuíam na Dark Web.
Por fim, mas não menos importante, esforços conjuntos da Europol, da Polícia Nacional do Japão e do FBI também resultaram no desenvolvimento de ferramentas de decifração capazes de recuperar arquivos criptografados pelo ransomware LockBit, as quais foram disponibilizadas gratuitamente no portal “No More Ransom” (disponível em: https://www.nomoreransom.org/en/decryption-tools.html), que já conta com mais de 120 soluções para decifrar mais de 150 tipos distintos de ransomware.
Apesar de ser, quiçá, a maior ameaça cibernética enfrentada globalmente na atualidade, operações como a que desarticulou a LockBit demonstram que a atuação em cooperação internacional possui capacidade de enfrentar o ransomware e de reduzir a sensação de insegurança então vigente.
Apesar de o Brasil não ter participado dessa operação, a conduta de quem utiliza ransomware, a depender das circunstâncias, pode ser tipificada em diversos tipos penais em nosso ordenamento jurídico-penal, dentre os quais o de invasão de dispositivo informático (art. 154-A, do Código Penal), extorsão (art. 158, do CP), dano (art. 163, do CP), modificação ou alteração não autorizada de sistemas de informações (art. 313-A, do CP), além é claro, da participação em organização criminosa e, eventualmente, lavagem de ativos.
Espera-se agora que, com a confiança renovada, as vítimas evitem efetuar pagamentos aos criminosos e comecem a reportar mais os crimes sofridos, incluindo ransomware, o que aumenta a base de dados para a investigação, com identificação adequada dos infratores e redução das cifras ocultas da criminalidade cibernética.
Referências
AFP (2024, 20 de fevereiro). Bilhões em prejuízos: grupo hacker ‘mais danoso’ do mundo é desmantelado em operação internacional. O Globo. Recuperado de: https://oglobo.globo.com/mundo/noticia/2024/02/20/bilhoes-em-prejuizos-grupo-hacker-mais-danoso-do-mundo-e-desmantelado-em-operacao-internacional.ghtml
Europol (2024, 20 de fevereiro). Law enforcement disrupt world’s biggest ransomware operation. Europol. Recuperado de: https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-disrupt-worlds-biggest-ransomware-operation
Gonçalves, A. L. D. (2024, 20 de fevereiro). Polícia prende membros do grupo de ransomware LockBit e derruba servidores; veja. Techmundo. Recuperado de: https://www.tecmundo.com.br/seguranca/280076-policia-prende-membros-grupo-ransomware-lockbit-derruba-servidores-veja.htm
Comments