O que é um ransomware?O que é CVE? [Exposição e Vulnerabilidades]
Tudo começou quando uma conta no Twitter, recém-criada e em nome de Ali Qushji, declarou que sua equipe invadiu os servidores do LockBit. A conta também afirma que, na ação, o construtor LockBit 3.0 foi encontrado em um dos servidores. O tal construtor (ou gerador) foi usado para criar a versão 3.0 do criptografador do grupo. Então sob o codinome LockBit Black, a ferramenta foi testada por dois meses e lançada em junho. Pode não parecer, mas o vazamento traz transtornos para a gangue. De posse do construtor, qualquer pessoa pode criar uma campanha de ransomware com relativa facilidade. O BleepingComputer teve acesso à ferramenta e conta que conseguiu até personalizar o modo de agir do malware. Ainda de acordo com o veículo, o construtor é formado por quatro arquivos: um gerador de chave criptográfica, um arquivo de configuração editável (config.json), o construtor em si e um arquivo de lote. Este último, quando executado, gera todos os arquivos necessários para o ransomware entrar em ação.
O LockBit sofreu um ataque ou não?
Seria uma ironia das grandes um grupo de ransomware ter seus servidores invadidos. Mas, aparentemente, o vazamento foi consequência de um “fogo amigo”. A conta Ali Qushji, que divulgou a suposta invasão, foi suspensa pelo Twitter. Mas um especialista em segurança que se identifica como 3xp0rt compartilhou o tweet com o anúncio. Pouco tempo depois, um administrador do VX-Underground, biblioteca online de códigos de malwares, alertou ter sido procurado em 10 de setembro por uma pessoa com codinome “protonleaks”. Esta oferecia justamente uma cópia do gerador. Então, o pessoal do VX-Underground entrou em contato com um representante do LockBit. Este explicou que não houve invasão. A ferramenta teria sido vazada por um membro irritado com a liderança do grupo, por motivos não revelados. A declaração não parece ser uma tentativa de pôr panos quentes na situação. Isso porque, se uma invasão por um agente externo realmente tivesse acontecido, é provável que muito mais arquivos teriam sido vazados, não só o construtor.
É ruim para o LockBit e é ruim para todo mundo
Se por um lado esse vazamento faz o LockBit provar do próprio veneno, por outro, deixa o setor de segurança digital em alerta. É fácil entender o motivo: com uma ferramenta como essa circulando por aí, a tendência é a de que mais ações de ransomware apareçam dentro de um curto espaço de tempo. Como o LockBit é um grupo que trabalha com o modelo de Ransomware as a Service (quando o malware é fornecido para que terceiros efetuem ataques com ele), faz sentido para eles que o tal gerador seja de uso relativamente fácil. Só não é interessante para a gangue que a ferramenta seja distribuída como se fosse um software gratuito. Para um grupo agressivo, que já pratica até uma estratégia de extorsão tripla contra as vítimas, esse é um soco no estômago, portanto. Se o vazamento terá outras consequências, só o tempo dirá. Mas uma coisa é certa: não dá para dizer que esse universo de malwares e segurança digital é entediante.