A Polícia Federal está investigando a utilização de uma ferramenta cibernética por hackers brasileiros, que permite a invasão de sistemas de órgãos públicos e empresas. Esta ferramenta é vendida por um dos maiores grupos de cibercriminosos do mundo. A operação, denominada Databrokers, foi deflagrada em 26 de fevereiro e revelou que os alvos utilizavam um ransomware conhecido como LockBit.
O LockBit é um software malicioso que, ao ser introduzido em um sistema, bloqueia o acesso dos usuários por meio de criptografia. Posteriormente, os hackers exigem um pagamento para liberar o acesso aos dados. Os hackers brasileiros estavam utilizando essa ferramenta para criar acessos a sistemas, que eram então comercializados em fóruns da darkweb.
Quais foram os alvos dos hackers?
As investigações revelaram que as vulnerabilidades exploradas pelos hackers foram comercializadas para acesso a sistemas de empresas e órgãos públicos. Entre os alvos identificados estão a Heineken no Brasil, o Tribunal de Justiça da Bahia (TJ-BA), a Polícia Rodoviária Federal (PRF) e o Fundo Nacional de Desenvolvimento da Educação (FNDE). O ransomware da LockBit tem a capacidade de identificar ativos valiosos dentro dos sistemas invadidos e criptografá-los, interrompendo as operações e exigindo resgate.
Em fevereiro de 2024, uma operação conjunta de agências de diversos países foi realizada contra o LockBit. As autoridades afirmaram que, somente nos Estados Unidos, cerca de 1.700 vítimas foram identificadas. A Europol destacou que a operação, chamada Cronos, desmantelou a infraestrutura do grupo em vários países, incluindo a Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido.
Medidas tomadas pelas autoridades internacionais
Durante a operação Cronos, foram congeladas 200 contas de criptomoedas associadas ao grupo criminoso, e a Agência do Reino Unido de Combate ao Crime assumiu o controle da infraestrutura dos sistemas utilizados pelo grupo. Entre as ações, destaca-se a derrubada do site na darkweb onde eram armazenados dados roubados de empresas e órgãos públicos. Mais de 14.000 contas responsáveis por ataques foram identificadas, destacando o alcance global do LockBit.
A Europol descreveu o LockBit como uma operação de “ransomware como serviço”, onde uma equipe central desenvolve o malware e gerencia o site, enquanto afiliados ao redor do mundo lançam os ataques. Isso fez do LockBit a variante de ransomware mais utilizada globalmente.
Resposta das entidades afetadas
Questionada sobre os ataques, a Heineken afirmou que não houve qualquer ataque recente ou vulnerabilidade identificada em seu sistema, garantindo que sua estrutura de segurança permanece intacta. O TJ-BA também informou que não detectou acessos indevidos ou ataques cibernéticos recentes, reiterando seu compromisso com a segurança da informação. Já o FNDE, por sua política de segurança, não divulga informações sobre incidentes de segurança da informação, mas assegura que adota boas práticas de monitoramento e tratamento de incidentes cibernéticos.