lockbit-ransomware

# LockBit Ransomware > [!critical] Um dos grupos de ransomware-as-a-service mais prolíficos e sofisticados do mundo, responsável por centenas de ataques globais, com variantes ativas (2.0, 3.0/Black e 4.0), criptografia ultrarrápida e módulo de exfiltração StealBit para dupla extorsão. ## Visão Geral LockBit é a operação de ransomware-as-a-service (RaaS) mais prolífica da história recente, ativa desde 2019 e responsável por mais vítimas confirmadas do que qualquer outro grupo de ransomware nos anos de 2022 e 2023. Desenvolvido por um núcleo técnico anônimo que recruta afiliados experientes — tipicamente ex-pentesters contratados — o grupo distingue-se pela velocidade de criptografia, pela automação agressiva de autopropagação via SMB e pelo módulo StealBit para exfiltração prévia de dados, que sustenta o modelo de dupla extorsão. O LockBit passou por três gerações principais (2.0, 3.0/Black e 4.0), mantendo operações mesmo após a Operação Cronos de 2024 que derrubou temporariamente sua infraestrutura. No Brasil e em toda a América Latina, o LockBit figura consistentemente entre os grupos de ransomware com maior número de vítimas confirmadas. Setores como [[financial|financeiro]], [[government|governo]], [[healthcare|saúde]] e manufatura foram atingidos em múltiplos estados brasileiros, com ataques de alto perfil a entidades públicas e privadas. A característica de autopropagação via redes Windows corporativas com Active Directory torna o LockBit especialmente perigoso para o parque tecnológico brasileiro, onde muitas organizações de médio porte ainda carecem de segmentação de rede e proteção de endpoint moderna. > [!latam] Impacto no Brasil e LATAM > O LockBit é um dos ransomwares com mais vítimas confirmadas no Brasil - setores **financeiro**, **governamental** e **saúde** foram atingidos em pelo menos oito estados. A autopropagação via SMB em redes Active Directory é devastadora para organizações brasileiras de médio porte com baixo nível de segmentação. O modelo RaaS facilita a entrada de operadores locais como afiliados, ampliando o alcance regional. ## Descrição LockBit é uma família de ransomware-as-a-service (RaaS) considerada uma das mais prolíficas e técnicamente sofisticadas desde seu surgimento em 2019. Desenvolvida em Assembly e C, opera com desenvolvedores principais que mantêm a infraestrutura (malware, painel de afiliados, site de vazamento) enquanto afiliados experientes - tipicamente pentesters contratados - conduzem as intrusões e compartilham percentual do resgate. A Trend Micro rastreia o grupo como "Water Selkie". O grupo passou por três gerações principais: LockBit 2.0 introduziu autopropagação agressiva via SMB e suporte a servidores Linux/ESXi, alegando ser o ransomware mais rápido do mundo. LockBit 3.0 (conhecido como "LockBit Black") trouxe novo visual e melhorias de evasão. LockBit 4.0 representa a evolução mais recente do modelo RaaS com capacidades aprimoradas. Uma característica única do LockBit é o recrutamento de insiders: as notas de resgate incluem convites para funcionários das vítimas fornecerem credenciais de acesso (RDP/VPN) em troca de parte do valor do resgate. A cadeia de ataque é altamente automatizada e orientada à velocidade. O acesso inicial é obtido via credenciais comprometidas, serviços expostos na internet ou brokers de acesso inicial (IABs). Pós-comprometimento, o grupo utiliza ferramentas como Mimikatz para credential dumping, Advanced Port Scanner e ADFind para enumeração de rede, e Process Hacker/GMER/PCHunter para desabilitar EDR/AV. O módulo StealBit exfiltra dados antes da criptografia para o modelo de dupla extorsão. A criptografia usa AES com chaves geradas via BCryptGenRandom, encapsuladas em RSA ou ECC, cifrando apenas os primeiros ~4KB de cada arquivo para maximizar velocidade sem comprometer impacto. A verificação do idioma do sistema exclui alvos em países do Leste Europeu. O LockBit é rastreado como um dos grupos de maior volume de vítimas globalmente, tendo atacado setores críticos incluindo saúde, governo, manufatura e infraestrutura crítica em mais de 50 países. Mesmo após a Operação Cronos (2024) que derrubou temporariamente sua infraestrutura, o grupo demonstrou resiliência e retomou operações. ## Técnicas Utilizadas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais comprometidas para acesso inicial - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de serviços expostos (RDP, VPN) - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de scripts PowerShell Empire para persistência e movimento lateral - [[t1046-network-service-scanning|T1046 - Network Service Scanning]] - enumeração via Advanced Port Scanner, NetScan e ADFind - [[t1003-credential-dumping|T1003 - OS Credential Dumping]] - extração de credenciais com Mimikatz - [[t1021-remote-services|T1021 - Remote Services]] - autopropagação via SMB sem intervenção manual - [[t1562-impair-defenses|T1562 - Impair Defenses]] - terminação de processos EDR/AV via Process Hacker, GMER, PCHunter - [[t1070-indicator-removal|T1070 - Indicator Removal]] - limpeza de logs para dificultar investigação forense - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia AES/RSA dos primeiros 4KB de cada arquivo para máxima velocidade - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração via módulo StealBit antes da criptografia ## Grupos que Usam - Afiliados LockBit RaaS - pentesters independentes que pagam percentual do resgate aos desenvolvedores do core - [[bl00dy-ransomware|Bl00dy Ransomware]] - grupo que utilizou o builder vazado do LockBit Black - Múltiplos grupos de IABs (Initial Access Brokers) que vendem acesso a redes comprometidas para afiliados LockBit ## Detecção **Indicadores de criptografia:** Monitorar criptografia massiva e rápida de arquivos com modificação dos primeiros 4KB (LockBit cifra apenas o início dos arquivos). Alertar para criação de arquivos `<ID>.README.txt` em múltiplos diretórios simultaneamente, alteração de wallpaper do desktop e spam de impressora (notas de resgate). Extensão `.lockbit` adicionada a arquivos é IOC tardio mas definitivo. **Indicadores de reconhecimento pré-ataque:** Detectar execução de Advanced Port Scanner, ADFind, e NetScan em contextos de servidor. Uso de Mimikatz ou técnicas de credential dumping em domain controllers é sinal de alto risco de ataque LockBit iminente. Alertar para execução de Process Explorer, PCHunter e GMER - ferramentas usadas para identificar e matar processos de segurança. **Movimento lateral e autopropagação:** Monitorar spikes anormais de tráfego SMB originados de um único host. Scripts PowerShell que executam copias do binário de ransomware via shares de rede são indicativos da fase de autopropagação do LockBit 2.0. **Exfiltração:** Detectar o módulo StealBit via análise de tráfego de saída para IPs/domínios não catalogados, especialmente transferências de volume elevado antes de qualquer indício de criptografia. Regras YARA para o binário StealBit estão disponíveis em repositórios públicos. ## Relevância LATAM/Brasil O LockBit figura consistentemente entre os grupos de ransomware com maior número de vítimas no Brasil. Relatórios da Axur, ISH e Apura documentam dezenas de organizações brasileiras comprometidas, com setores [[financial|financeiro]], [[government|governamental]], [[healthcare|saúde]] e manufatura como principais alvos. A operação de alto perfil contra o DETRAN em São Paulo e ataques a hospitais e distribuidoras brasileiras demonstram que o grupo trata o Brasil como mercado prioritário. A capacidade de autopropagação em redes Windows corporativas é especialmente perigosa em organizações brasileiras de médio porte que ainda dependem de Active Directory sem segmentação adequada ou proteção de endpoint moderna. ## Referências - [MITRE ATT&CK - LockBit](https://attack.mitre.org/software/) - [Unit 42 - LockBit 2.0 Ransomware Analysis](https://unit42.paloaltonetworks.com/lockbit-2-ransomware/) - [Kaspersky - LockBit Ransomware](https://www.kaspersky.com/resource-center/threats/lockbit-ransomware) - [Trend Micro - Ransomware Spotlight: LockBit](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit) - [CISA - Understanding Ransomware Threat Actors: LockBit](https://www.cyber.gov.au/about-us/advisories/understanding-ransomware-threat-actors-lockbit) - [Deep Instinct - LockBit 3.0 vs LockBit 4.0](https://www.deepinstinct.com/blog/raas-evolved-lockbit-3-0-vs-lockbit-4-0)