# LockBit ## Visão Geral LockBit e o grupo de ransomware mais prolífico da historia moderna do cibercrime, responsavel por mais de **22% de todos os ataques de ransomware** em 2024. Ativo desde 2019 como "ABCD ransomware" e evoluindo para LockBit 2.0 (2021) e LockBit 3.0/Black (2022), o grupo opera um modelo RaaS extremamente sofisticado com programa de afiliados agressivo, site de vazamento proprio e o ransomware mais rapido de criptografia do mercado. Em fevereiro de 2024, a Operação Cronos - acao coordenada de 11 paises - desarticulou temporariamente a infraestrutura do grupo. Em novembro de 2023, o grupo atacou o ICBC (Industrial and Commercial Bank of China), o maior banco do mundo. O grupo permanece ativo em 2025 sob novo lider após recaptura. ## Operação Cronos - Disrupcao de 2024 - **Fevereiro 2024:** Policias de 11 paises derrubam infraestrutura do LockBit - **Apreendido:** 34 servidores, 1.000 chaves de decriptacao, 200 contas criptografadas - **Identificado:** Dmitry Khoroshev (LockBitSupp) identificado e sancionado pelos EUA - **Continuidade:** LockBit 3.0 retoma operações semanas depois; resiliencia demonstrada ## Attack Flow - LockBit ```mermaid graph TB A["🎯 Acesso Inicial<br/>VPN exploit / RDP bruteforce<br/>Credenciais compradas de IABs"] --> B["🔍 Reconhecimento<br/>Enumeracao de rede<br/>Identificação de backups"] B --> C["🔐 Escalada de Privilegios<br/>Mimikatz para credenciais<br/>Pass-the-hash lateral move"] C --> D["💾 Exfiltração<br/>StealBit - ferramenta propria<br/>Dados enviados pre-criptografia"] D --> E["💥 Deploy LockBit<br/>Criptografia mais rapida do mercado<br/>Desativa AV / shadow copies"] E --> F["💰 Dupla Extorsao<br/>LockBit Leaks site TOR<br/>Prazo countdown publico"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#196f3d,color:#fff style F fill:#f39c12,color:#fff ``` ## Versoes e Evolução ```mermaid timeline title Versoes LockBit 2019 : ABCD Ransomware : Operacoes iniciais discretas 2021 : LockBit 2.0 : Programa afiliados agressivo : Bug bounty para pesquisadores 2022 : LockBit 3.0 / Black : Baseado em código BlackMatter : Primeiro RaaS com bug bounty Nov 2023 : ICBC attack : Maior banco do mundo afetado Fev 2024 : Operação Cronos : Disrupcao temporaria pelo FBI 2024-2025 : LockBit continua ativo : Novo lider; rebranding parcial ``` ## Relevância para o Brasil e LATAM > [!danger] LockBit no Brasil - Ameaça Permanente > O LockBit e historicamente um dos grupos mais ativos contra organizacoes brasileiras. O programa de afiliados agressivo facilita que operadores locais conduzam ataques usando a infraestrutura do grupo. Setores priorizados no Brasil incluem: manufatura, saúde, financeiro e governo. A velocidade de criptografia do LockBit (um dos mais rapidos) reduz drasticamente o tempo de detecção e resposta. O grupo já atacou bancos brasileiros, hospitais e empresas industriais. A Operação Kronos em 2024 identificou afiliados em varios paises, incluindo LATAM. ## Modelo de Afiliados - O Que Torna o LockBit Único - **Bug bounty programa:** Primeiro RaaS a pagar por bugs no software (até USD 1 milhao) - **Pagamento garantido:** Operadores prometem pagar afiliados mesmo sem resgaté recebido - **Velocidade:** LockBit 3.0 e o ransomware de criptografia mais rapido testado - **Automacao:** Propagação automatizada via GPO e contas de dominio - **Transparencia:** Contador regressivo público na vitima forcando negociacao ## Ataques Notaveis | Data | Vitima | Impacto | |------|--------|---------| | Nov 2022 | Hospital for Sick Children (Canada) | Servicos criticos afetados; grupo se desculpou e deu decryptor gratis | | Jun 2023 | TSMC (Taiwan) - via fornecedor | Dados roubados; USD 70 milhões demandados | | Nov 2023 | ICBC USA (broker-dealer) | Maior banco do mundo; operações de clearing afetadas | | 2023 | Banco brasileiro (nao divulgado) | Dados vazados no LockBit Leaks | ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190]] - Exploits de Citrix Bleed (CVE-2023-4966), Log4j - [[t1133-external-remote-services|T1133]] - VPNs sem MFA como vetor primario - [[t1078-valid-accounts|T1078]] - Credenciais compradas de Initial Access Brokers - [[t1021-001-remote-desktop-protocol|T1021.001]] - RDP para movimentação lateral - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia mais rapida do mercado - [[t1490-inhibit-system-recovery|T1490]] - Desabilita shadow copies e backups - [[t1059-001-powershell|T1059.001]] - PowerShell para propagação via GPO ## Software Utilizado - LockBit Ransomware (3.0/Black) - Baseado em código BlackMatter vazado - [[s0154-cobalt-strike|Cobalt Strike]] - Framework C2 pos-exploração - [[mimikatz|Mimikatz]] - Roubo de credenciais Windows - StealBit - Ferramenta propria de exfiltração de dados --- *Fontes: [US Treasury Sanctions LockBit](https://home.treasury.gov/news/press-releases/jy2114) | [CISA Advisory - LockBit 3.0](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a) | [FBI - Operation Cronos](https://www.fbi.gov/news/press-releases/fbi-disrupts-lockbit-ransomware-network)*