Segundo monitoramento da Kaspersky, o LockBit – grupo de ransomware com maior atuação ao redor do mundo – aprimorou sua operação com funcionalidades multiplataforma – mais especificamente para sequestrar arquivos em computadores com o sistema macOS. O LockBit ganhou projeção por seus ataques incansáveis a empresas do mundo inteiro, inclusive no Brasil. Recentemente a CISA, órgão do governo americano, anunciou que o grupo obteve lucros de 91 milhões de dólares, pagos por empresas vítimas de ataques nos EUA. A informação reforça uma das conclusões do relatório da Kaspersky que destaca a determinação do grupo de ampliar seu alcance e maximizar o impacto às suas vítimas.
Em suas primeiras fases, o LockBit operou sem divulgar seus ataques em um portal, táticas de dupla extorsão ou de exfiltração de dados antes de criptografar as informações e sistemas das vítimas. No entanto, o grupo desenvolve continuamente sua infraestrutura e medidas de segurança para proteger seus ativos de diversas ameaças, incluindo ataques sobre seus sistemas de afiliados e ataques de negação de serviço distribuídos (DDoS).
A comunidade de cibersegurança observou que o LockBit está adotando o código de outros grupos de ransomware, como o BlackMatter e DarkSide. Além de simplificar as operações para possíveis afiliados, esse movimento estratégico também amplia as possibilidade de iniciar uma infecção pelo LockBit. Descobertas recentes do Kaspersky Threat Attribution Engine (KTAE) mostra que o LockBit incorporou aproximadamente 25% do código antes usado pelo agora inativo ransomware Conti, resultando em uma nova variação conhecida como LockBit Green.
Em um passo significativo, os pesquisadores da Kaspersky descobriram um arquivo ZIP contendo amostras do LockBit adaptadas especificamente para diversas arquiteturas, incluindo Apple M1, ARM v6, ARM v7, FreeBSD e outras. Com uma análise e investigação completa usando o KTAE, foi confirmado que essas amostras tiveram origem na versão Linux/ESXi do LockBit observada anteriormente.
Embora algumas amostras, como a variação para macOS, exijam configuração adicional e não sejam assinadas adequadamente, é evidente que o LockBit está testando seu ransomware ativamente em várias plataformas, o que indica uma expansão iminente dos ataques. Essa evolução enfatiza a necessidade urgente de medidas robustas de cibersegurança em todas as plataformas e conscientização intensa na comunidade corporativa.
“O LockBit é um grupo de ransomware extremamente ativo, conhecido por seus ataques cibernéticos devastadores sobre empresas do mundo inteiro. Com os aprimoramentos contínuos da infraestrutura e a incorporação de código de outras gangues de ransomware, o LockBit representa uma ameaça substancial e em evolução para organizações de diversos setores. É fundamental que as empresas reforcem suas defesas, atualizem seus sistemas de segurança regularmente, instruam os funcionários sobre as práticas recomendadas de cibersegurança e estabeleçam protocolos de resposta a incidentes para atenuar de modo efetivo os riscos apresentados pelo LockBit e grupos de ransomware semelhantes”, comenta Marc Rivero, pesquisador sênior em segurança da Equipe de Pesquisa e Análise Global da Kaspersky.
Saiba mais sobre o conjunto de ferramentas atualizado do LockBit em Securelist.
