# LockBit Campanhas no Brasil > [!critical] O Brasil é o alvo número 1 do LockBit na América Latina - 27,42% dos ataques regionais e 105 organizações comprometidas em 2024 > O grupo LockBit opera o esquema de Ransomware-as-a-Service mais prolífico do mundo e transformou o Brasil em seu principal alvo na América Latina. Em 2024, 105 organizações brasileiras foram listadas no site de vazamentos, representando crescimento de 69% em relação a 2023. A Operação Cronos de fevereiro de 2024 desmantelou a infraestrutura global, mas afiliados continuam operando com variantes derivadas. ## Visão Geral O [[lockbit-ransomware-group|LockBit]] é a operação de Ransomware-as-a-Service (RaaS) mais ativa do mundo desde 2021, responsável por mais de 2.500 vítimas globais. O modelo de negócio é simples e devastador: o grupo desenvolve o ransomware e infraestrutura, recruta afiliados que conduzem os ataques, e divide o resgate na proporção de 20% para o núcleo do grupo e 80% para o afiliado. Essa estrutura permite escala massiva e ataques simultâneos em múltiplas geografias. O Brasil ocupa posição de destaque como alvo preferêncial do LockBit na América Latina. Dados de 2024 confirmam o país como líder regional: 27,42% de todos os ataques LockBit na América Latina atingem organizações brasileiras, com 105 vítimas listadas públicamente no site de vazamentos - crescimento de 69% em relação a 2023. Os setores mais afetados são [[financial|financeiro]], [[government|governo]], [[healthcare|saúde]] e [[technology|tecnologia]]. A motivação é primariamente financeira. O Brasil combina fatores de risco únicos: alta digitalização em setores críticos, maturidade de segurança desigual entre grandes e pequenas organizações, sistemas legados sem suporte, e ciclos lentos de aplicação de patches - especialmente em infraestrutura hospitalar pública e entidades governamentais municipais. O custo médio de um ataque de ransomware no Brasil supera R$ 10 milhões quando considerados remediação, tempo de inatividade e impacto reputacional. Em fevereiro de 2024, a **Operação Cronos** - coordenação entre FBI, Europol, NCA (UK) e outros parceiros - desmantelou a infraestrutura do LockBit: servidores apreendidos, decryptors obtidos, afiliados identificados. O administrador principal "LockBitSupp" foi sancionado pelos EUA. Porém, o impacto no Brasil foi limitado: afiliados continuam operando com variantes derivadas como LockBit Black (3.0) e novas variantes não-oficiais que vazaram o builder original. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Phishing ou exploração<br/>de CVE em VPN/RDP exposto"] --> B["Reconhecimento<br/>Mimikatz e ADFind<br/>mapeamento de AD e shares"] B --> C["Escalada de Privilégios<br/>Pass-the-hash ou<br/>exploração de token"] C --> D["Movimento Lateral<br/>RDP, PsExec, WMI<br/>acesso a DCs e backups"] D --> E["Destruição de Backups<br/>vssadmin delete shadows<br/>disable recovery mode"] E --> F["Exfiltração<br/>StealBit ou Rclone<br/>dados para site de vazamento"] F --> G["Criptografia<br/>LockBit executado em GPO<br/>notas de resgate em cada pasta"] ``` > **Grupo:** LockBit RaaS | **Malware:** LockBit 3.0 (Black) | **Vetores:** CVE-2023-4966 (Citrix), CVE-2021-44228 (Log4Shell) ## Cronologia ```mermaid timeline title LockBit no Brasil - Evolução 2021-01 : LockBit 2.0 lança programa de afiliados - Brasil entra no radar 2022-06 : LockBit 3.0 (Black) lançado com novo site de vazamento 2022-09 : Primeira grande vítima pública brasileira no setor financeiro 2023-01 : Brasil se torna líder em ataques LockBit na América Latina 2023-06 : ION Group (trading) comprometido - impacto em mercados financeiros 2024-02 : Operação Cronos - desmantelamento global da infraestrutura LockBit 2024-03 : LockBitSupp anuncia retomada - afiliados continuam ativos no Brasil 2024-12 : 105 organizações brasileiras listadas em 2024 - crescimento de 69% ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Citrix NetScaler CVE-2023-4966 e VPNs com MFA ausente | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais obtidas via phishing ou infostealer como vetor inicial | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | LockBit criptografa todos os drives mapeados, incluindo shares de rede | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | vssadmin delete shadows, bcdedit /set recoveryenabled no | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de shares de rede antes de criptografia para priorização | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos com macros entregando Cobalt Strike Beacon | ## Vítimas e Impacto **Escala no Brasil em 2024:** - 105 organizações listadas no site de vazamentos do LockBit - Crescimento de 69% em relação a 2023 - 27,42% de todos os ataques LockBit na América Latina - Vítimas cobrindo todos os setores críticos da economia brasileira **Casos notáveis de impacto:** - **Setor hospitalar**: múltiplos hospitais públicos e privados - interrupção de prontuários eletrônicos e agendamentos - **Prefeituras**: municípios de médio porte com sistemas de arrecadação comprometidos - **Escritórios de advocacia**: dados de clientes corporativos exfiltrados e públicados - **Logística**: operações de transporte paralisadas por horas/dias **Impacto financeiro documentado:** - Custo médio de recuperação estimado em R$ 10-15 milhões por incidente grave - Multas LGPD potenciais de até 2% do faturamento nacional para vazamentos de dados - Pagamentos de resgate raramente abaixo de US$ 500.000 para grandes organizações ## Relevância LATAM e Brasil O Brasil representa o maior mercado-alvo do LockBit na América Latina por múltiplos fatores estruturais: - **Tamanho do mercado**: maior economia da região, com maior concentração de organizações com capacidade de pagamento de resgate - **Maturidade desigual**: contraste entre grandes bancos (com SOCs maduros) e milhares de hospitais públicos, prefeituras e empresas médias com maturidade de segurança baixa - **Dados valiosos**: setor financeiro com dados de 230 milhões de CPFs, setor saúde com prontuários, setor governamental com informações estratégicas - **Ciclos lentos de patch**: sistemas críticos legados levam semanas ou meses para receber patches - janela explorada por afiliados que monitoram divulgação de CVEs A **Operação Cronos** demonstrou a eficácia da cooperação internacional, mas o impacto no Brasil foi limitado. A estrutura RaaS significa que o desmantelamento do core group não elimina os afiliados que desenvolveram conhecimento técnico e acesso a redes brasileiras. Variantes como [[lockbit-ransomware|LockBit Black]] com builder vazado permitem que atores locais operem independentemente da hierarquia original. ## Mitigação **Ações imediatas:** - Aplicar [[cve-2023-4966|CVE-2023-4966]] (CitrixBleed) e patches de VPN com máxima urgência - Habilitar MFA em todos os serviços de acesso remoto - RDP, VPN, Citrix, SSH - Isolar backups em rede segregada com acesso offline ou imutável **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - ciclo de patch com janela máxima de 14 dias para CVEs críticas - Implementar [[m1030-network-segmentation|M1030]] - segmentação de rede para limitar movimento lateral entre domínios - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA obrigatório em Active Directory e todos os serviços expostos - Monitorar via [[ds-0029-network-traffic|DS-0029]] - tráfego de exfiltração via ferramentas como Rclone e StealBit ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a) CISA/FBI - LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 (2023) - [2](https://www.nca.gov.uk/news/lockbit-cybercrime-gang-disrupted-by-international-task-force) NCA UK - LockBit Cybercrime Gang Disrupted by International Task Force (2024) - [3](https://www.europol.europa.eu/media-press/newsroom/news/operation-cronos-law-enforcement-disruption-against-lockbit-group) Europol - Operation Cronos Disruption Against LockBit Group (2024) - [4](https://www.redbelt.com.br/blog) Redbelt Security - LockBit no Brasil: Análise de Ataques 2024 (2024) - [5](https://www.bleepingcomputer.com/news/security/lockbit-ransomware-claims-attack-on-italian-revenue-agency-steals-100gb/) BleepingComputer - LockBit Ransomware Global Attacks Analysis (2024) - [6](https://unit42.paloaltonetworks.com/lockbit-3-information/) Unit 42 - LockBit 3.0 Ransomware: Indications of Compromise (2023)