O Bureau Federal de Investigação (FBI) dos EUA divulgou que está em posse de mais de 7.000 chaves de descriptografia associadas à operação de ransomware LockBit para ajudar as vítimas a recuperarem seus dados sem custo. LockBit, que já foi uma gangue prolífica de ransomware, foi vinculado a mais de 2.400 ataques globalmente, com pelo menos 1.800 entidades impactadas nos EUA. Em fevereiro passado, uma operação de aplicação da lei internacional denominada Cronos liderada pela Agência Nacional contra o Crime do Reino Unido (NCA) desmantelou sua infraestrutura online. No mês passado, um cidadão russo de 31 anos chamado Dmitry Yuryevich Khoroshev foi exposto pelas autoridades como o administrador e desenvolvedor do grupo, uma alegação que LockBitSupp negou desde então. Khoroshev também é acusado de ter denunciado outros operadores de ransomware para que a aplicação da lei pudesse “pegar leve com ele”. Apesar dessas ações, o LockBit continuou ativo sob uma nova infraestrutura, embora operando em níveis inferiores aos anteriores. Estatísticas compartilhadas pela Malwarebytes mostram que a família de ransomware foi vinculada a 28 ataques confirmados no mês de abril de 2024, colocando-a atrás de Play, Hunters International e Black Basta. A Veeam Ransomware Trends Report 2024, baseada em uma pesquisa com 1.200 profissionais de segurança, destaca que as organizações que sofrem um ataque de ransomware podem recuperar, em média, apenas 57% dos dados comprometidos, deixando-as vulneráveis a “perda substancial de dados e impacto negativo nos negócios”. O desenvolvimento coincide com a emergência de novos players como SenSayQ e CashRansomware (também conhecido como CashCrypt), e famílias de ransomware existentes como TargetCompany (também conhecido como Mallox e Water Gatpanapun) estão constantemente refinando suas habilidades ao aproveitar uma nova variante Linux para mirar sistemas VMWare ESXi.Os ataques aproveitam servidores vulneráveis Microsoft SQL para obter acesso inicial, uma técnica adotada pelo grupo desde sua chegada em junho de 2021. Também determinam se um determinado sistema alvo está em um ambiente VMWare ESXi e possui direitos administrativos antes de prosseguir com a rotina maliciosa. A empresa de cibersegurança atribuiu os ataques que implantam a nova variante Linux do ransomware TargetCompany a um afiliado chamado Vampire, que também foi revelado pela Sekoia no mês passado.