Vazamento da LockBit mostra que afiliados usam táticas de pressão e raramente recebem pagamento

A LockBit, uma das gangues de ransomware mais prolíficas em atividade atualmente, foi invadida na semana passada, revelando suas operações internas com clareza. Os arquivos vazados, disponibilizados brevemente por meio de um site onion na rede Tor, deram a pesquisadores e profissionais de segurança uma rara visão de como a LockBit executa sua operação de ransomware como serviço ( RaaS ).

Acredita-se que a violação tenha se originado de alguém com acesso à infraestrutura da LockBit, expondo registros de bate-papo, registros de compilação de ransomware, arquivos de configuração, endereços de carteiras de Bitcoin e identificadores de afiliados. Embora grupos de ransomware geralmente estejam no controle dos holofotes, desta vez, eles próprios se tornaram alvo de análise.

Rhys Downing, analista do Centro de Operações de Segurança da Ontinue, liderou a análise aprofundada dos dados vazados. Seu trabalho detalha os métodos operacionais do programa de afiliados da LockBit, incluindo como os invasores criam payloads, estimam pedidos de resgate e conduzem negociações.

A análise de Downing também revela a natureza estruturada do ecossistema da LockBit e detalha a infraestrutura do grupo, revelando o quão organizada essa rede criminosa se tornou.

Um dos dados mais importantes vazados é uma tabela conhecida internamente como "builds", que registra cada carga útil de ransomware criada por afiliadas da LockBit. Cada registro inclui detalhes como ID da afiliada, chaves de criptografia públicas e privadas, referências da empresa alvo e pedidos de resgate declarados.

Essas estimativas foram inseridas manualmente pelos próprios invasores antes do lançamento dos payloads, revelando insights sobre suas estratégias de preços e seleção de alvos. Alguns pedidos de resgate foram exagerados; entradas como "303kkk" (US$ 303 milhões) parecem ser dados de teste, mas outras mostraram uma abordagem mais calculada. Por exemplo, um afiliado registrou quatro builds com um valor declarado combinado de mais de US$ 168 milhões.

Apesar de centenas de ataques de ransomware e pedidos agressivos de resgate, apenas 7 das 246 vítimas foram registradas como tendo efetuado algum pagamento. E, curiosamente, nenhuma delas confirmou o recebimento de uma ferramenta de descriptografia. Ainda não está claro se isso aconteceu porque os dados estavam incompletos ou se alguém os deixou de fora de propósito.

Os números deixam claro que a maioria das vítimas não paga, e menos ainda recebem algo em troca. Isso se alinha com a recente violação de dados da PowerSchool , em que a empresa de tecnologia educacional pagou um resgate não divulgado a cibercriminosos para evitar maiores consequências, mas os invasores retornaram com mais exigências, desta vez visando professores e alunos.

Quanto à LockBit, o banco de dados vazado mostrou que a marcação de campo pagava comissões aos afiliados acima de zero em apenas 2,8% dos casos. Mas mesmo isso não é prova definitiva do pagamento do resgate.

De acordo com o Relatório de Ameaças Ontinue , mais de 4.000 transcrições de conversas entre afiliados da LockBit e vítimas também foram vazadas. Essas mensagens demonstram uma mistura de pressão calculada, manipulação emocional e ameaças diretas. Em vários casos, os afiliados rejeitaram pedidos de clemência e dobraram o preço do resgate sem aviso prévio.

Um afiliado respondeu a uma empresa alegando ser uma empresa pequena: “Your size is irrelevant. Your data is valuable.”

Outra conversa continha uma mensagem promovendo o programa de afiliados da LockBit em um discurso de recrutamento bizarro: “Want a Lamborghini, a Ferrari and lots of ti**y girls? Sign up and start your pentester billionaire journey in 5 minutes with us.”

Essas conversas mostram que os afiliados da LockBit agem mais como representantes de vendas insistentes do que como hackers/cibercriminosos. As táticas variam de pressão psicológica a advertências contra o envolvimento de autoridades policiais ou seguradoras.

O que chama a atenção nos dados é o nível de organização. A LockBit utiliza construtores modulares de payload, painéis de afiliados e uma infraestrutura de back-end robusta. Os afiliados podem ajustar as configurações de compilação para controlar tudo, desde quais arquivos criptografar até se o descriptografador se autodeleta após o uso.

Eles até executaram um programa de recompensa por bugs em um de seus sites onion, oferecendo recompensas por vulnerabilidades encontradas em sua infraestrutura.

A violação também se reconectou a uma ação policial anterior. A Operação Cronos , uma campanha liderada pela Agência Nacional de Crimes do Reino Unido e outras agências, expôs anteriormente nomes de usuários vinculados às operações da LockBit. Muitos desses nomes de usuários foram confirmados neste novo vazamento, correspondendo aos IDs encontrados nos dados do payload.

Usuários notáveis ​​incluem:

• Ashlin com o maior número de cargas úteis geradas

• Rich, Melville e Merrick como outros operadores de alto volume

Essa conexão confirma ainda mais que a equipe principal da gangue e seus afiliados de alto nível permaneceram consistentes mesmo após tentativas de derrubada anteriores .

Simplificando, a análise de vazamento de dados da Ontinue esclarece algumas coisas, como o fato de que a LockBit funciona como uma franquia. Eles fornecem o malware, os afiliados realizam os ataques e todos ficam com uma parte do resgate.

Este vazamento mostra que muitos afiliados tratam seus ataques como ligações de vendas, registrando retornos esperados, gerenciando negociações e seguindo etapas estruturadas para pressionar as vítimas. Mas, assim como uma tentativa frustrada de vender algo, a maioria dessas tentativas parece fracassar.

De acordo com Saeed Abbasi , Gerente de Pesquisa de Vulnerabilidades da Qualys, a violação é uma fonte valiosa de inteligência para os defensores. "Ao entender quais sistemas a LockBit visou e como os afiliados personalizaram os payloads, as equipes de segurança podem priorizar melhor a aplicação de patches, reforçar sistemas negligenciados e aprimorar os controles básicos de acesso", disse ele.

O uso do Tor pela LockBit continua sendo uma defesa fundamental, dificultando a derrubada de seus sites. No entanto, o vazamento sugere que nenhum sistema, mesmo aquele administrado por cibercriminosos, é verdadeiramente seguro.

A violação da LockBit revelou uma operação de ransomware que afetou empresas no mundo todo . Isso confirma o que especialistas em segurança suspeitavam há anos: grupos de ransomware funcionam como empresas, incluindo integração de afiliados, gerenciamento de infraestrutura e planejamento financeiro.