Autoridades dos Estados Unidos, Reino Unido e outros países anunciaram uma ação coordenada contra o LockBit, uma das operações de ransomware mais ativas do mundo. O Departamento de Justiça dos EUA informou que a infraestrutura foi interrompida, sites públicos foram apreendidos e servidores usados por administradores do grupo foram tomados por autoridades.1

A Eurojust descreve a ação como uma operação internacional que comprometeu a plataforma principal do LockBit e outras partes de sua infraestrutura, incluindo a derrubada de 34 servidores em países como Holanda, Alemanha, Finlândia, França, Suíça, Austrália, Estados Unidos e Reino Unido.2

Ransomware como serviço depende de infraestrutura

O LockBit opera no modelo ransomware-as-a-service. Um núcleo mantém malware, painel de controle, site de vazamento e infraestrutura de extorsão, enquanto afiliados invadem vítimas e implantam o ransomware. Esse modelo permite escala: diferentes criminosos usam a mesma marca, ferramentas e processo de cobrança.

Segundo o Departamento de Justiça, o LockBit atingiu mais de 2.000 vítimas nos Estados Unidos e em outros países, recebeu mais de US$ 120 milhões em pagamentos de resgate e fez demandas de centenas de milhões de dólares.1 Esses números mostram por que interromper infraestrutura pode ter mais efeito imediato do que apenas prender operadores individuais.

A apreensão de servidores e sites públicos reduz a capacidade do grupo de coordenar afiliados, publicar dados roubados e pressionar vítimas. A tomada do chamado "wall of shame", usado para expor organizações que não pagam, atinge diretamente o mecanismo de extorsão dupla: criptografar sistemas e ameaçar publicar dados.

Chaves de descriptografia mudam a resposta a vítimas

Um ponto importante da operação é a obtenção de capacidades de descriptografia. O Departamento de Justiça afirma que autoridades conseguiram chaves da infraestrutura apreendida para ajudar vítimas a recuperar dados. Vítimas foram orientadas a contatar o FBI por um portal específico para verificar se seus sistemas podem ser descriptografados.1

A Eurojust também informa que ferramentas de descriptografia foram disponibilizadas gratuitamente pelo portal No More Ransom, com apoio técnico de autoridades como a polícia japonesa, a National Crime Agency e o FBI.2 Para vítimas, isso pode reduzir a pressão por pagamento e acelerar recuperação.

Ainda assim, descriptografar arquivos não encerra um incidente. Empresas afetadas precisam identificar vetor inicial, revisar credenciais, procurar persistência, avaliar exfiltração de dados, comunicar partes impactadas e reconstruir ambientes com confiança. Ransomware é tanto problema de disponibilidade quanto de vazamento e governança.

Ação policial não elimina risco operacional

A Operação Cronos mostra avanço na cooperação internacional contra ransomware, mas não autoriza relaxamento. Grupos criminosos tendem a reaproveitar afiliados, código, acessos iniciais e marcas alternativas. A interrupção de uma infraestrutura pode reduzir capacidade por um período, mas a superfície de ataque continua aberta em VPNs, credenciais roubadas, phishing, RDP exposto e falhas sem correção.

Para empresas, a resposta prática é reforçar fundamentos: backup isolado e testado, MFA resistente, segmentação, gestão de vulnerabilidades, EDR, monitoramento de identidade, plano de crise e simulações. A melhor notícia para uma vítima é não precisar de uma chave de descriptografia obtida em operação policial.

  1. U.S. Department of Justice, "U.S. and U.K. Disrupt LockBit Ransomware Variant", 20 fev. 2024.
  2. Eurojust, "Eurojust supports international operation against world’s largest ransomware group", 20 fev. 2024.