operation-cronos - RunkIntel

# Operation Cronos > [!info] Takedown do LockBit - 11 Nacoes Coordenadas > **Operation Cronos** foi a maior operação policial contra ransomware até 2024: apreendeu **34 servidores** do [[lockbit|LockBit]], revelou a identidade do LockBitSupp e públicou decriptadores gratuitos. Coordenada pela NCA e FBI com 9 parceiros internacionais. Apesar do impacto, o grupo tentou reconstruir sua infraestrutura em semanas - demonstrando a resiliencia do modelo RaaS. ## Visão Geral **Operation Cronos** foi uma operação policial coordenada internacionalmente, liderada pela National Crime Agency (NCA) do Reino Unido e pelo FBI, que desarticulou parcialmente a infraestrutura do [[lockbit|LockBit Operators]] em fevereiro de 2024. A operação resultou na apreensão de servidores, encerramento do portal de vazamento de dados e públicação de decriptadores via [[No More Ransom]]. A operação resultou em: apreensão de 34 servidores da infraestrutura [[lockbit|LockBit]] em múltiplos países; encerramento do portal de vazamento de dados público; apreensão de mais de 200 carteiras de criptomoedas; detenção de dois afiliados na Polônia e Ucrânia; indiciamento de cinco membros identificados pela **NCA** e pelo **FBI**; e públicação de decriptadores gratuitos via [[No More Ransom]]. Apesar da operação, o grupo tentou reconstruir sua infraestrutura - demonstrando a resiliência característica dos grupos [[lockbit|RaaS (Ransomware-as-a-Service)]]. A operação também teve impacto em campanhas de ransomware que afetaram setores como [[financial]], [[healthcare|saúde]] e [[government]] globalmente, incluindo na América Latina. ## Operação Policial - Fluxo ```mermaid graph TB A["🔍 Investigação Multi-Nacao NCA + FBI + Europol 11 paises coordenados"] --> B["⚖️ Mandados Judiciais Autorização em cada jurisdicao envolvida"] B --> C["🖥️ Apreensao de Servidores 34 servidores em multiplos paises"] C --> D["🌐 Portal de Vazamento LockBit leak site encerrado controlado pelas autoridades"] D --> E["💰 Cripto Apreendida 200+ carteiras de criptomoedas bloqueadas"] E --> F["🔑 Decriptadores Chaves obtidas e publicadas via No More Ransom"] F --> G["👤 Deanonimizacao Identidade LockBitSupp revelada publicamente"] G --> H["🔄 Resiliencia RaaS Afiliados migram para ALPHV, RansomHub e outros"] ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2024-02-19 | NCA, FBI e parceiros executam operação coordenada simultaneamente | | 2024-02-19 | 34 servidores apreendidos; portal LockBit encerrado e substituido por pagina NCA | | 2024-02-19 | 2 afiliados detidos na Polonia e Ucrania | | 2024-02-20 | NCA revela identidade do suposto lider LockBitSupp (Dmitry Khoroshev) | | 2024-02-20 | Decriptadores gratuitos públicados via No More Ransom | | 2024-02-21 | LockBit tenta reconstruir infraestrutura em dominio alternativo | | 2024-05 | DOJ dos EUA anuncia indiciamento de Dmitry Khoroshev e sancoes | | 2024-07 | Recompensa de USD 10 milhões oferecida por informações sobre LockBit | ## Participantes da Operação A Operation Cronos foi uma das maiores operações coordenadas de law enforcement contra ransomware, reunindo agências de 11 países: | Agência | País | Papel | |---------|------|-------| | **NCA** (National Crime Agency) | Reino Unido | Liderança e coordenação | | **FBI** (Federal Bureau of Investigation) | EUA | Co-liderança; indiciamentos | | **Europol** | União Europeia | Coordenação europeia; centro de operações | | **BKA** (Bundeskriminalamt) | Alemanha | Apreensão de servidores | | **Gendarmerie Nationale** (OFAC) | França | Investigação financeira | | **Politie** | Holanda | Apreensão de infraestrutura | | **Politiet** | Suécia | Participação na operação | | **Poliisi** | Finlândia | Participação na operação | | **Agência Nacional de Crimes** | Austrália | Parceiro Five Eyes | | **Polícia Nacional** | Jápão | Participação asiática | | **Polícia Nacional** | Suíça | Participação europeia | ## TTPs do LockBit (Pre-Cronos) Esta campanha documenta tanto as TTPs do [[lockbit|LockBit]] (o grupo que foi alvo) quanto a operação de law enforcement: | Tática LockBit | Técnica | ID | Observacao | |----------------|---------|-----|------------| | Initial Access | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Acesso via credenciais compradas/furtadas ou phishing | | Execution | Command and Scripting Interpreter | [[t1059-command-and-scripting-interpreter\|T1059]] | Execução de scripts de criptografia em massa | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware [[lockbit-encryptor\|LockBit Encryptor]] implantado | | Impact | Defacement | [[t1491-defacement\|T1491]] | Portal de vazamento como plataforma de extorsao | ## Resultados - **34 servidores** apreendidos em múltiplos paises - **Portal de vazamento de dados** do LockBit encerrado - **200+ carteiras de criptomoedas** apreendidas - **2 afiliados** detidos (Polônia e Ucrânia) - **5 membros** indiciados nos EUA - **Decriptadores gratuitos** públicados via No More Ransom - Identidade do suposto líder **LockBitSupp** revelada públicamente pela NCA ## Impacto e Contexto A Operation Cronos foi precedida por outras operações de law enforcement contra grupos [[lockbit|ransomware]], como a **Operation Tovar** (2014, contra GameOver Zeus/CryptoLocker) e a **Hive Ransomware Disruption** (2023, FBI). A takedown do [[lockbit|LockBit]] foi considerada a mais significativa de sua época, mas o grupo demonstrou capacidade de resiliência ao tentar reativar operações. O [[lockbit-encryptor|LockBit Encryptor]] permaneceu disponível a afiliados mesmo após a operação, indicando que partes da cadeia de ataque sobreviveram à intervenção. Os [[t1486-data-encrypted-for-impact|ataques de ransomware]] do grupo afetaram mais de 2.500 organizações em 120 países, com pagamentos de resgaté superiores a USD 120 milhões. ## Relevância LATAM/Brasil O [[lockbit|LockBit]] foi o grupo de ransomware mais ativo no Brasil e América Latina em 2022-2023, responsável por ataques a hospitais, prefeituras e empresas de médio porte. A Operation Cronos reduziu temporariamente a capacidade operacional do grupo, mas afiliados continuaram operando usando o encryptor e infraestrutura remanescente. Para organizações brasileiras, a lição central é que a interdição policial de grupos RaaS é temporária - os afiliados migram para outros grupos (ALPHV, RansomHub) ou reconstituem operações. A cooperação de inteligência entre Brasil (ANPD, CERT.br, Polícia Federal) e agências internacionais foi reforçada no contexto da Operation Cronos. ## Referências - NCA - "Operation Cronos: NCA leads international disruption of LockBit" (2024) - FBI - Press release on LockBit takedown (2024) - Europol - Operation Cronos coordinated action (2024) - Europol - "LockBit: Most prolific ransomware operator taken offline" (2024)