O grupo de ransomware LockBit agora está trabalhando para melhorar sua proteção contra ataques DDoS além de adicionar tripla extorsão às suas operações maliciosas. Essas ações são desencadeadas por um confronto recente entre os criminosos da LockBit e a empresa de segurança Entrust.
A LockBit está melhorando sua infraestrutura
LockBit lançou um ataque contra a Entrust durante o qual os dados foram roubados, possivelmente para ser usado em esquemas de extorsão dupla. Operadores de ransomware geralmente publicam dados roubados em seu site de vazamento corporativo. Contudo, o site de vazamento sofreu recentemente um ataque DDoS, possivelmente realizado pela Entrust, que impediu o acesso aos dados publicados.
Vale ressaltar que a empresa não procedeu com o pagamento do resgate. Então, LockBit disse que publicaria todos os dados roubados da Entrust em agosto 19, o que era impossível devido ao ataque DDoS. Apesar de não ser confirmado, acredita-se que o ataque DDoS foi iniciado pela Entrust.
Como resposta ao ataque que sofreu, A LockBit anunciou que o grupo melhorou seu jogo criando uma infraestrutura maior, permitindo acesso a vazamentos habilitados por DDoS. Extorsão tripla, ou exigindo pagamentos de resgate dos clientes da vítima, parceiros, e outros terceiros relacionados ao ataque inicial, é outra adição ao modus operandi do LockBit.
“Estou procurando dudosers [DDoSers] no time, provavelmente agora atacaremos alvos e forneceremos extorsão tripla, criptografia + vazamento de data + dudos, porque senti o poder dos dudos e como isso revigora e torna a vida mais interessante,” LockBitSupp, a figura do representante público da quadrilha, compartilhado em um post em um fórum underground.
Além da afirmação acima, A LockBitSupp disse que compartilharia os dados roubados da Entrust em um torrent do tamanho de 300 GB. Os dados seriam compartilhados em particular com qualquer pessoa que entrasse em contato com eles antes de finalizar o torrent. Os cibercriminosos cumpriram sua promessa e lançaram um torrent chamado entrust.com que contém 343 GB de informações. Outra grande empresa na lista de vítimas do ransomware é Accenture.
em agosto, SentinelLabs relatou uma nova iteração do ransomware – LockBit 3.0 ou LockBit Preto – que foi equipado com uma série de rotinas anti-análise e anti-depuração, e a capacidade para explorar outra ferramenta legítima – Windows Defender.