A Polícia Federal (PF) investiga o uso por hackers brasileiros de uma ferramenta para invasão de sistemas de órgãos públicos e empresas vendida por um dos maiores grupos de cibercriminosos do mundo.
Na operação Databrokers, deflagrada na quarta-feira (26/2), os investigadores encontraram indícios de que os alvos usavam ransomware (um software malicioso) do LockBit.
O grupo, alvo de investigações no exterior, produz um ransomware que entra no sistema, bloqueia o acesso dos usuários usando criptografia, por exemplo, para depois cobrar pagamento e devolver o acesso aos dados.
Como mostrou a coluna, os hackers brasileiros usavam a ferramenta para criar acesso a sistemas depois comercializados em fóruns da darkweb.
A investigação já conseguiu informações sobre a comercialização dessas vulnerabilidades pelos hackers para entrada nos sistemas de empresas como a Heineken no Brasil e órgãos públicos como o Tribunal de Justiça da Bahia (TJ-BA), Polícia Rodoviária Federal (PRF) e Fundo Nacional de Desenvolvimento da Educação (FNDE).
O ransomware da LockBit, segundo sites especializados, tem a capacidade de encontrar ativos de valor dentro dos sistemas invadidos e criptografá-los para evitar acesso dos usuários.
Depois disso, normalmente, os ataques interrompem a operação do sistema, cobram resgate ou roubam os dados para posterior publicação e venda ilegal.
Em fevereiro de 2024, o LockBit foi alvo de uma operação conjunta de agências de diversos países.
À época, autoridades afirmaram que somente nos Estados Unidos eram cerca de 1.700 vítimas do grupo e de suas ferramentas para acessos a sistemas.
De acordo com nota divulgada pela Europol, naquele momento autoridades policiais de 10 países “interromperam a operação criminosa do grupo de ransomware LockBit em todos os níveis, prejudicando gravemente sua capacidade e credibilidade”.
Ainda segundo a Europol, a operação batizada de Cronos derrubou servidores do grupo na Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido.
Também foram congeladas 200 contas de criptomoedas e a UK’s National Crime Agency (Agência do Reino Unido de Combate ao Crime) assumiu o controle da infraestrutura dos sistemas utilizados pelo grupo.
Entre elas, o site na darkweb onde ficavam os dados roubados de empresas e órgãos públicos.
Segundo as autoridades, mais de 14.000 contas responsáveis por ataques foram identificadas.
As autoridades também congelaram mais de 200 contas de criptomoedas vinculadas à organização criminosa, ressaltando o compromisso de interromper os incentivos econômicos que impulsionam os ataques de ransomware.
Na divulgação da operação, a Europol classificou o LockBit “uma operação de ‘ransomware como serviço’, o que significa que uma equipe central cria seu malware e executa seu site, enquanto licencia seu código para afiliados que lançam ataques.”
De acordo com a apuração, os afiliados estavam espalhados em todo mundo, o que faz do ransomware da LockBit a variante mais utilizada em todo mundo.
Defesa
Questionada pela coluna, a Heineken afirmou que não houve qualquer ataque recente ou vulnerabilidade identificada em seu sistema e “reitera que sua estrutura de segurança segue intacta e operando com total integridade”.
O TJ-BA também disse à coluna que não foi identificado nenhum acesso indevido ou ataque cibernéticos ao ambiente do Tribunal nos últimos dias.
“O TJBA reitera o compromisso com a segurança da informação e a proteção dos sistemas sob sua gestão, mantendo práticas contínuas de monitoramento e mitigação de ameaças cibernéticas e qualquer invasão detectada será comunicada imediatamente às autoridades competentes”, afirma a nota.
Já o FNDE disse que por conta de sua política de segurança, não divulga informações sobre incidentes de Segurança da Informação e/ou sobre eventuais ações de investigação em andamento. “O FNDE, autarquia federal vinculada ao Ministério da Educação, adota boas práticas de monitoramento e tratamento de incidentes cibernéticos – reportando-os às autoridades competentes, quando necessário”, afirmou.