# LockBit > [!warning] Resumo > Uma das maiores operações RaaS da história, responsável por 25-33% de todos os ataques de ransomware em 2023. Apesar da Operation Cronos (fev 2024), o LockBit se reinventou com versão 5.0 cross-platform (Windows/Linux/ESXi/Proxmox) e continua ativo com mais de 100 vítimas mensais. ## Visão Geral O **LockBit** é uma das operações de Ransomware-as-a-Service mais prolíficas e duradouras do cenário de ameaças, originada por volta de **2020** e responsável por **25-33% de todos os ataques de ransomware em 2023**. O grupo opera a partir de fóruns russófonos e mantém modelo de afiliados com retenção de 20% para a equipe core. A **Operation Cronos** (19-20 de fevereiro de 2024), conduzida pelo UK NCA, FBI e parceiros internacionais, representou um golpe significativo: apreensão do leak site, 34 servidores, 14.000 contas, congelamento de 200 contas crypto, 5 indiciamentos e prisões na Polônia/Ucrânia. Porém, o grupo **se reorganizou**, lançando novos sites Onion e retomando operações. O **LockBit 5.0**, anunciado no final de 2025 no fórum RAMP, marca o 6o aniversário do grupo com inovações significativas: **criptografia ChaCha20/Curve25519**, execução em memória via loader, evasão com mutexes e delays, e suporte **cross-platform** nativo via .NET Core para **Windows, Linux, ESXi e Proxmox**. ## Attack Flow ```mermaid graph TB A["🎯 Initial Access<br/>Exploit Public App<br/>T1190 (ActiveMQ)"] --> B["🔑 Privilege Escalation<br/>Token Duplication<br/>T1134.002"] B --> C["🔐 Credential Dumping<br/>LSASS Extraction<br/>T1003"] C --> D["↔️ Lateral Movement<br/>RDP/SMB/PsExec<br/>T1021"] D --> E["🛡️ Defense Evasion<br/>ETW Tampering + Log Wipe<br/>T1562"] E --> F["📤 Exfiltration<br/>StealBit Tool<br/>T1567"] F --> G["💣 Impact<br/>ChaCha20 Encryption<br/>T1486 + T1490"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#f39c12,color:#fff style D fill:#16a085,color:#fff style E fill:#2980b9,color:#fff style F fill:#8e44ad,color:#fff style G fill:#c0392b,color:#fff ``` ## Táticas, Técnicas e Procedimentos (TTPs) O LockBit emprega técnicas robustas com ênfase em evasão e amplitude: - **Acesso Inicial**: Exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]) - Apache ActiveMQ ([[cve-2023-46604|CVE-2023-46604]]), Ivanti Connect Secure; phishing via ALZip droppers - **Escalação**: AdjustTokenPrivileges, DuplicateTokenEx, LogonUserExExW; dump de LSASS ([[t1003-os-credential-dumping|T1003]]) - **Movimentação Lateral**: RDP, SMB, PsExec ([[t1021-remote-services|T1021]]), [[metasploit]]/Meterpreter - **Evasão**: Terminação de processos/serviços (nomes hashados), ETW tampering, log wiping, DLL reflection, MPRESS packing, mutexes, delays de execução ([[t1562-impair-defenses|T1562]]) - **Exfiltração**: [[s1200-stealbit]] e serviços de compartilhamento públicos ([[t1567-exfiltration-over-web-service|T1567]]) - **Impacto**: Criptografia via ChaCha20/Curve25519 ([[t1486-data-encrypted-for-impact|T1486]]), deleção de VSS via IVssEnumObject ([[t1490-inhibit-system-recovery|T1490]]) ## Campanhas Notáveis | Data | Evento | Detalhes | |------|--------|----------| | 2020-2023 | Ascensão | De origem ao ransomware #1 global; 25-33% de market share | | Fev 2024 | **Operation Cronos** | Takedown por UK NCA/FBI; apreensão de infraestrutura; 5 presos | | Mar 2024 | Reorganização | Novos sites Onion; reuploads de vítimas anteriores (67%+ do total) | | 2025 | **LockBit 5.0** | Lançamento com .NET Core cross-platform; anúncio no RAMP; afiliados com 80% | | Dez 2025 | Pico de atividade | ~112 vítimas em um mês; demonstração de resiliência pós-Cronos | | Fev 2026 | ActiveMQ exploit | Exploração de CVE-2023-46604 para deploy de LockBit via XML/CertUtil | ## Infraestrutura e Ferramentas | Ferramenta | Uso | |-----------|-----| | LockBit 5.0 | Ransomware cross-platform (.NET Core): Windows/Linux/ESXi/Proxmox; ChaCha20/Curve25519 | | [[s1200-stealbit]] | Ferramenta proprietária de exfiltração | | [[s0154-cobalt-strike]] | C2 e movimentação lateral | | [[metasploit]]/Meterpreter | Framework de pós-exploração | | Advanced IP Scanner | Descoberta de rede | | CertUtil | Download de payload | | PsExec | Execução remota | | Leaked Builder | Usado por afiliados para personalização de notas (ex: Session messaging) | ## Alvos e Setores O LockBit é **oportunista em escala global**, atacando qualquer organização de alto valor: [[manufatura]], [[healthcare|saúde]], [[financial]], [[technology]], [[government]], educação e varejo. O grupo opera em dezenas de países, com exemplos recentes na Coreia do Sul e Singapura. A operação via afiliados permite alcance geográfico virtualmente ilimitado. ## Indicadores de Comprometimento (IoCs) - Binários .NET Core LockBit 5.0 com flags para paths/passwords/process kills - Ferramenta StealBit para exfiltração - Exploração de Apache ActiveMQ (CVE-2023-46604) - Comúnicações via novos domínios Onion pós-Cronos - Períodos de válidade em payloads (validity periods) - Extensões de arquivo criptografado variáveis por afiliado ## Relevância para o Brasil e LATAM > [!warning] Ameaça Crítica e Persistente > LockBit é atualmente a ameaça de ransomware mais ativa e grave para organizações brasileiras e latino-americanas. O modelo RaaS com afiliados distribuídos globalmente e a capacidade de exploração oportunista significa que qualquer organização de médio a grande porte em setores como [[financial]], [[manufatura]], [[healthcare]], e [[technology]] é um potencial alvo. A resiliência demonstrada após a Operation Cronos (fevereiro 2024), com retorno às operações em poucas semanas e lançamento do LockBit 5.0 cross-platform, confirma que o grupo continuará sendo a maior ameaça de ransomware para a região em 2026. Empresas brasileiras com presença multinacional enfrentam risco elevado de ataque direto ou via cadeia de suprimentos. ## Referências - [Trend Micro - Operation Cronos Aftermath](https://www.trendmicro.com/en/research/24/c/operation-cronos-aftermath.html) - [The DFIR Report - Apache ActiveMQ Exploit Leads to LockBit](https://thedfirreport.com/2026/02/23/apache-activemq-exploit-leads-to-lockbit-ransomware/) - [LevelBlue/SpiderLabs - 19 Shades of LockBit 5.0](https://www.levelblue.com/blogs/spiderlabs-blog/19-shades-of-lockbit-5.0-inside-the-latest-cross-platform-ransomware-part-3) - [MOXFIVE - Threat Actor Spotlight: LockBit 5.0](https://www.moxfive.com/resources/moxfive-threat-actor-spotlight-lockbit-5-0) - [CISA - Understanding Ransomware Threat Actors: LockBit](https://www.ic3.gov/CSA/2023/230614.pdf)