# LockBit 2.0 > Tipo: **ransomware** · S1199 · [MITRE ATT&CK](https://attack.mitre.org/software/S1199) ## Visão Geral [[s1199-lockbit-20|LockBit 2.0]] (também chamado de LockBit Red) e um Ransomware-as-a-Service (RaaS) lancado em junho de 2021 como sucessor direto do LockBit 1.0, originado do grupo ABCD Ransomware. Durante seu período de maior atividade (segundo semestre de 2021 a meados de 2022), o LockBit 2.0 foi o ransomware mais impactante do mundo - responsavel por 46% de todos os incidentes de ransomware em 2022 e mais de 850 vitimas públicadas no site de vazamentos do grupo. O modelo de afiliados pagava até 80% do resgaté aos operadores externos, tornando-o altamente atrativo para criminosos com diferentes niveis tecnicos. A versao 2.0 introduziu o **StealBit**, ferramenta proprietaria de exfiltração automatica para suportar dupla extorsao, e capacidades de criptografia para maquinas virtuais Windows e VMware ESXi. Em fevereiro de 2024, a **Operação Cronos** - coordenada pelo FBI, NCA e parceiros internacionais - derrubou temporariamente a infraestrutura do grupo, levando ao LockBit 4.0 sem suporte a payloads LockBit Red. **Plataformas:** Windows, VMware ESXi --- ## Como Funciona O LockBit 2.0 opera via modelo RaaS em tres fases principais: 1. **Acesso inicial via afiliados:** Os afiliados obteem acesso através de credenciais válidas ([[t1078-valid-accounts|T1078]]), bruteforce de RDP ([[t1133-external-remote-services|T1133]]) ou exploração de vulnerabilidades publicas como ProxyShell (CVE-2021-34473) e CVE-2021-20028 ([[t1190-exploit-public-facing-application|T1190]]). 2. **Propagação e preparação:** Modifica Group Policy ([[t1484-001-group-policy-modification|T1484.001]]) para implantar o ransomware via GPO em toda a rede, executa bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]), cria contas de persistência ([[t1136-create-account|T1136]]) e usa Cobalt Strike para movimento lateral via SMB ([[t1021-002-smb-windows-admin-shares|T1021.002]]). 3. **Exfiltração e cifragem:** O StealBit exfiltra dados via MEGASync ou RClone antes da criptografia ([[t1041-exfiltration-over-c2-channel|T1041]]). O ransomware para servicos criticos ([[t1489-service-stop|T1489]]), deleta shadow copies (`vssadmin delete shadows /all`), cifra arquivos com extensao `.lockbit` e exibe nota de resgaté `Restore-My-Files.txt`. O malware verifica configuracoes de idioma e **nao cifra sistemas configurados em russo ou outras linguas CIS**, padrao tipico de ransomware de origem russa. --- ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>RDP bruteforce / VPN<br/>Exploit ProxyShell T1190"] --> B["Bypass UAC<br/>T1548.002<br/>GPO modification T1484.001"] B --> C["Persistência<br/>Registry Run Keys T1547.001<br/>Scheduled Task T1053.005"] C --> D["Reconhecimento<br/>Network shares T1135<br/>ADFind / NetScan"] D --> E["Movimento Lateral<br/>Cobalt Strike + SMB<br/>T1021.002"] E --> F["Exfiltração StealBit<br/>MEGASync / RClone<br/>Dupla extorsao"] F --> G["Cifragem LockBit 2.0<br/>Stop Services T1489<br/>Delete shadows + .lockbit"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C,E install class D recon class F exfil class G impact ``` --- ## Timeline ```mermaid timeline title LockBit - Evolução e Operacoes Legais 2019 : LockBit 1.0 surge como ABCD Ransomware Jun 2021 : LockBit 2.0 lancado com StealBit e suporte ESXi 2022 : 46 porcento de todos incidentes RaaS globais Jun 2022 : LockBit 3.0 (Black) lancado com bug bounty Fev 2024 : Operação Cronos - NCA e FBI derrubam infraestrutura Mai 2024 : Indiciamento de Dmitry Khoroshev (LockBitSupp) Dez 2024 : LockBit 4.0 lancado sem suporte a LockBit Red ``` --- ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Valid Accounts - credenciais reusadas ou expostas | | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application (ProxyShell) | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Windows Command Shell | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Keys / Startup Folder | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | | Privilege Escalation | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypass User Account Control | | Defense Evasion | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deobfuscaté/Decode Files or Information | | Defense Evasion | [[t1564-003-hidden-window\|T1564.003]] | Hidden Window | | Defense Evasion | [[t1112-modify-registry\|T1112]] | Modify Registry | | Credential Access | [[t1110-brute-force\|T1110]] | Brute Force (RDP) | | Discovery | [[t1082-system-information-discovery\|T1082]] | System Information Discovery | | Discovery | [[t1135-network-share-discovery\|T1135]] | Network Share Discovery | | Discovery | [[t1057-process-discovery\|T1057]] | Process Discovery | | Lateral Movement | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | SMB/Windows Admin Shares | | Privilege Escalation | [[t1484-001-group-policy-modification\|T1484.001]] | Group Policy Modification | | Collection | [[t1136-create-account\|T1136]] | Creaté Account | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltration Over C2 Channel (MEGASync/RClone) | | Impact | [[t1489-service-stop\|T1489]] | Service Stop | | Impact | [[t1120-peripheral-device-discovery\|T1120]] | Peripheral Device Discovery | --- ## Relevância LATAM O LockBit 2.0 foi o ransomware com **maior número de vitimas publicas no Brasil entre 2021 e 2022**. Dados da Digi Americas / Recorded Future confirmam o LockBit como um dos cinco principais atores de ameaça contra o setor financeiro LATAM, ao lado de CL0P, Mispadu, Horabot e Blind Eagle. O grupo afirmou explicitamente ter como alvo organizacoes nas regioes JAPAC, EMEA e LATAM. Em julho de 2024, já sob a marca LockBit 3.0, o grupo conduziu um ataque direcionado contra uma grande instituicao financeira brasileira, explorando vulnerabilidade em infraestrutura de desktop virtual e exigindo US$ 2,5 milhoes em Bitcoin. Dados de 2023 mostram que a America Latina experimenta a maior taxa de ataques de ransomware: 79% dos incidentes envolvem ransomware, comparado a media global de 53%. O modelo RaaS permitia que afiliados locais operassem com baixo custo de entrada. A capacidade de cifrar ambientes VMware ESXi representou impacto severo em corporacoes brasileiras dependentes de virtualizacao. O StealBit automatizou a exfiltração, tornando a dupla extorsao acessivel mesmo para afiliados com pouca experiencia técnica. **Setores impactados no Brasil:** [[financial|financeiro]] · [[government|governo]] · [[healthcare|saude]] · [[manufacturing|industria]] --- ## Detecção - **Group Policy Monitoring** - Detectar modificacoes de GPO nao autorizadas (`gpupdate /force`, alteracoes via `GPMC`) - técnica central do LockBit 2.0 para propagação em dominios Windows. - **Shadow Copy Deletion** - Alertar para `vssadmin delete shadows /all`, `wbadmin delete catalog` e `bcdedit /set safeboot` - acoes pre-cifragem padrao. - **Mass File Modification** - Monitorar criação em massa de arquivos com extensoes `.lockbit` e nota de resgaté `Restore-My-Files.txt` em múltiplos diretorios. - **StealBit Traffic** - Monitorar conexoes de rede para MEGASync e RClone a partir de sistemas corporativos; alertar para grandes uploads externos incomuns. ```sigma title: LockBit 2.0 Pre-Encryption Activity status: stable logsource: category: process_creation product: windows detection: selection_shadows: CommandLine|contains: - 'vssadmin delete shadows' - 'wbadmin delete catalog' - 'bcdedit /set safeboot' condition: selection_shadows falsepositives: - Legitimaté backup software management level: critical tags: - attack.impact - attack.t1486 - code/distill ``` --- ## Referências - [1](https://unit42.paloaltonetworks.com/lockbit-2-ransomware/) Unit 42 - LockBit 2.0 TTPs Analysis - [2](https://www.picussecurity.com/resource/lockbit-2.0-ransomware-ttps-used-in-emerging-ransomware-campaigns) Picus Security - TTPs LockBit 2.0 - [3](https://digiamericas.org/wp-content/uploads/2025/06/FinancialSector_EN.pdf) Digi Américas - LATAM Financial Sector Threat Landscape 2025 - [4](https://www.vectra.ai/modern-attack/threat-actors/lockbit) Vectra AI - LockBit History and Variants - [5](https://attack.mitre.org/software/S1199) MITRE ATT&CK - S1199 LockBit