# LockBit Ransomware Campaign > [!critical] LockBit - o grupo de ransomware mais ativo do mundo desde 2022, com Brasil entre os principais alvos > O **LockBit** opera como Ransomware-as-a-Service (RaaS) desde 2019, tornando-se em 2022 o grupo de ransomware mais ativo do mundo. Com mais de 1.653 vitimas confirmadas até o primeiro trimestre de 2023, o grupo atacou infraestrutura critica em todos os continentes - incluindo o Brasil, que aparece entre os tres paises com mais tentativas de ataque detectadas pela Trend Micro. A **Operação Cronos** de fevereiro de 2024 disrumpiu temporariamente as operações do grupo, mas o LockBit retomou atividades rapidamente. ## Visão Geral O **LockBit Ransomware Campaign** representa a operação criminosa de ransomware mais prolifica e duradoura da era moderna. Originado como "ABCD ransomware" em setembro de 2019, o grupo evoluiu rapidamente para um modelo sofisticado de Ransomware-as-a-Service que recruta afiliados no submundo criminoso, fornecendo infraestrutura, malware e suporte tecnico em troca de percentual dos resgates. O [[lockbit-group|LockBit]] foi oficialmente o grupo de ransomware mais ativo do mundo em 2022, de acordo com a CISA, o FBI e parceiros internacionais. A operação distingue-se por seu profissionalismo extremo: o grupo lancou o primeiro programa de bug bounty de um grupo de ransomware (LockBit 3.0/Black), realiza "concursos de redacao técnica" para recrutar talentos criminosos, e ofereceu US$ 1 milhao para quem revelar a identidade de seus membros. Essa postura de "empresa criminosa profissionalizada" diferencia o LockBit de grupos mais ruidosos como o Conti. O modelo de dupla extorsao - criptografar os dados E ameaçar vazar na dark web - criou um nivel adicional de pressao sobre vitimas. O [[s1200-stealbit|StealBit]], ferramenta proprietaria de exfiltração, permite ao grupo exfiltrar dados rapidamente antes da criptografia. O Brasil ocupa consistentemente entre os tres primeiros paises com mais deteccoes de tentativas LockBit, ao lado de EUA e India, segundo dados da Trend Micro. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>RDP bruteforce, phishing<br/>Exploit de app publica"] --> B["Reconhecimento<br/>Enumeracao de rede<br/>AD, compartilhamentos SMB"] B --> C["Escalada de Privilegios<br/>UAC bypass, credenciais<br/>Mimikatz, contas válidas"] C --> D["Movimento Lateral<br/>PSExec, RDP, GPO<br/>Propagação pela rede"] D --> E["Pre-Encriptacao<br/>StealBit exfiltra dados<br/>Desabilita backups/shadow"] E --> F["Impacto - Encriptacao<br/>AES + ECC, extensao .lockbit<br/>Nota de resgaté desktop"] F --> G["Dupla Extorsao<br/>Dados no leak site<br/>Pressao de pagamento"] ``` ## Cronologia ```mermaid timeline title LockBit RaaS - Evolução 2019-09 : ABCD ransomware - primeiro surgimento 2020-01 : Rebranding para LockBit - forums russos 2021-06 : LockBit 2.0 lancado - criptografia mais rapida 2021-08 : Accenture comprometida - 6TB de dados vazados 2022-03 : LockBit 3.0 (Black) lancado com bug bounty program 2022-11 : Ataque ao ICBC - maior banco da China 2023-06 : CISA advisory AA23-165A - mais de 1.653 vitimas 2024-02 : Operação Cronos - law enforcement disrumpe operacoes 2024-02 : Retomada rapida - LockBit recomeça operacoes 2024-05 : Acusacoes DOJ - 2 russos indiciados nos EUA ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Log4Shell e outras vulns em apps expostas | | Initial Access | External Remote Services | [[t1133-external-remote-services\|T1133]] | Abuso de RDP - principal vetor inicial | | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Spearphishing para acesso em redes corporativas | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais de IABs (Initial Access Brokers) | | Defense Evasion | System Language Discovery | [[t1614-001-system-language-discovery\|T1614.001]] | Nao ataca sistemas com idioma russo/CIS | | Lateral Movement | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Propagação via RDP com credenciais roubadas | | Lateral Movement | Group Policy Modification | [[t1484-001-group-policy-modification\|T1484.001]] | GPO para desabilitar Defender e propagar | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES + ECC, criptografia multithread acelerada | | Impact | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadow copies via wevtutil/wmic | | Exfiltration | Exfiltration to Cloud Storage | [[t1567-002-exfiltration-to-cloud\|T1567.002]] | StealBit exfiltra para infraestrutura propria | ## Versões e Evolução | Versao | Período | Caracteristicas | |--------|---------|----------------| | ABCD ransomware | Set 2019 | Predecessor - nome das extensoes encriptadas | | LockBit 1.0 | Ján 2020 | RaaS estabelecido, forums russos | | LockBit 2.0 | Jun 2021 | Criptografia mais rapida, StealBit integrado | | LockBit 3.0 / Black | Mar 2022 | Bug bounty, código parcialmente baseado no BlackMatter | | LockBit-NG-Dev | 2023+ | Versao em .NET core (mais multiplataforma) | ## Vitimas Notaveis - [[icbc-lockbit-attack-2023|ICBC]] (2023) - maior banco da China, operações de clearing no EUA interrumpidas - [[lockbit-brazil-campaigns|Organizacoes Brasileiras]] - setor financeiro, manufacturacao e saúde confirmados - Accenture (2021) - 6TB de dados supostamente exfiltrados - National Health Service (NHS) do Reino Unido - servicos de saúde afetados - Mais de 1.700 ataques confirmados nos EUA desde 2020 (FBI) ## Relevância LATAM e Brasil O Brasil figura entre os tres paises com mais deteccoes de tentativas de ataque LockBit globalmente, ao lado de EUA e India, de acordo com dados da Trend Micro de 2021-2022. O setor [[financial|financeiro]] brasileiro e especialmente visado, com o modelo de dupla extorsao criando pressao adicional em instituicoes reguladas pela [[lgpd|LGPD]] - onde a ameaça de vazamento de dados pessoais implica riscos regulatorios alem do impacto operacional. O [[lockbit-brazil-campaigns|historico de campanhas LockBit no Brasil]] inclui ataques a manufaturacao, saúde e setor público confirmados entre 2021 e 2024. O grupo nao ataca sistemas configurados com idiomas da CIS (Russia, Bielorrussia, etc.), o que confirma base operacional russa e torna todos os sistemas em PT-BR alvos elegiveis. ## Mitigação **Acoes técnicas prioritarias:** - Desabilitar RDP exposto públicamente; utilizar VPN + MFA para acesso remoto - Implementar [[m1036-account-use-policies|M1036]] - politicas de uso de contas e bloqueio após tentativas falhas - Bloquear criação e delecao de shadow copies por processos nao autorizados - Segmentar rede para limitar movimento lateral via SMB/RDP **Controles estratégicos:** - Adotar estratégia de backup 3-2-1 com copia offline isolada da rede - Implementar [[m1049-antivirus-antimalware|M1049]] - EDR com detecção comportamental (LockBit detecta e tenta desabilitar AVs) - Monitorar via [[m1031-network-intrusion-prevention|M1031]] - comúnicacoes C2 saintes incomuns - Treinar equipes para reconhecer vetores iniciais: phishing e RDP ## Referências - [1](https://www.ic3.gov/CSA/2023/230614.pdf) CISA/FBI/MS-ISAC - AA23-165A LockBit Advisory (2023) - [2](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit) Trend Micro - Ransomware Spotlight: LockBit (2024) - [3](https://www.ic3.gov/media/news/2023/230614.pdf) IC3 - LockBit International Partnership Advisory (2023) - [4](https://attack.mitre.org/software/S1199/) MITRE ATT&CK - LockBit 2.0 Software S1199 - [5](https://www.nextgov.com/cybersecurity/2024/02/us-international-partners-disrupt-lockbit-ransomware-operations/394289/) NextGov - Operation Cronos Disrupts LockBit (2024)