# LockBit 3.0 > Tipo: **ransomware** (RaaS) · S1202 · [MITRE ATT&CK](https://attack.mitre.org/software/S1202) ## Visão Geral [[s1202-lockbit-30|LockBit 3.0]], também denominado **"LockBit Black"**, é a terceira iteração da plataforma Ransomware-as-a-Service (RaaS) do LockBit, lançada em junho de 2022. É considerado o ransomware mais prolífico da história recente, tendo sido responsável por **25-33% de todos os ataques de ransomware globais em 2023**, segundo a Cisco Talos. **Evolução da família LockBit:** - **LockBit 1.0 (2019):** Surgimento; modelo RaaS básico com afiliados recebendo 80% do resgaté - **LockBit 2.0 - "Red" (2021):** Autopropagação via Active Directory e GPO; exfiltração com StealBit - **LockBit 3.0 - "Black" (jun/2022):** Similaridades com BlackMatter/BlackCat; bug bounty público; criptografia Salsa20 + RSA-1024; maior evasão - **LockBit Green (2023):** Versão baseada no código-fonte do Conti, para atrair afiliados ex-Conti - **LockBit NG-Dev / 4.0 (2024):** Detectado pela Trend Micro durante Operação Cronos; base .NET para multiplataforma - **LockBit 5.0 (set/2025):** Retorno com Windows/Linux/ESXi; 16 caracteres de extensão aleatória; ataques confirmados em EUA, México e Europa **Modelo de Negócio RaaS:** O LockBit cobra **20% do valor do resgaté**, enquanto os afiliados ficam com 80%. Diferentemente de outros grupos, o LockBit permite que os afiliados recebam o pagamento diretamente das vítimas e depois paguem a taxa - aumentando a confiança dos afiliados na operação. ## Como Funciona ### Acesso Inicial Afiliados do LockBit 3.0 usam múltiplos vetores de acesso inicial: - **RDP bruto-forçado ou com credenciais comprometidas** (T1133) - vetor mais comum - **Exploração de aplicações expostas** (T1190) - VPNs, servidores web, Exchange - **Phishing com documentos** (T1566) - geralmente via frameworks como Cobalt Strike - **Credenciais válidas compradas** (T1078) - initial access brokers (IABs) - **Drive-by compromise** (T1189) - via exploit kits ### Execução e Evasão O LockBit 3.0 implementa várias camadas de proteção pré-execução: 1. **Verificação de senha:** Se compilado com proteção por senha, a execução sem a senha correta resulta em binário ilegível - a chave criptográfica decifra o payload principal 2. **Verificação de idioma do sistema** (T1614.001): Não infecta sistemas com idioma da lista de exclusão (romeno moldavo, árabe sírio, tatar russo) - comum em ransomware de origem russa 3. **Anti-debugging:** Verifica campos HEAP do Windows (`Flag`, `ForceFlag`) que mudam com debugger ativo 4. **Mutual Exclusion** (T1480.002): Cria mutex `Global\<MD4 hash do GUID da máquina>` para evitar execução dupla ### Propagação Lateral O LockBit 3.0 se propaga automaticamente pela rede via: - **Lista de credenciais hardcoded** compilada na build (ou credenciais comprometidas locais) - **GPO Modification** (T1484.001): Distribuição via Políticas de Grupo do Active Directory - **PsExec via SMB:** Execução remota em hosts do domínio - Frameworks de terceiros: [[s0154-cobalt-strike|Cobalt Strike]], [[s0357-impacket|Impacket]], [[mimikatz|Mimikatz]] para movimentação lateral e dump de credenciais ### Técnicas de Evasão de Defesa **Safe Mode Boot** (T1562.009) - técnica mais característica do LockBit 3.0: ``` bcdedit /set {current} safeboot networkmode shutdown /r /t 0 ``` O LockBit configura o sistema para reiniciar em Modo Seguro com rede, onde a maioria das soluções de EDR e antivírus não é carregada. Na reinicialização, o ransomware executa com menos interferência defensiva. **Limpeza de logs** (T1070.001): ``` wevtutil cl Security wevtutil cl System wevtutil cl Application ``` Executa antes da cifragem para dificultar análise forense. **Defacement** (T1491.001): Altera o papel de parede do desktop para exibir a nota de resgaté do LockBit. ### Cifragem O LockBit 3.0 usa criptografia híbrida customizada: - **Salsa20 modificado:** Cifra arquivos com chave de 64 bytes (padrão usa 32 bytes) - **RSA-1024 customizado sem padding:** Protege as chaves de cifragem de arquivos - **Extensão:** `.lockbit3` nos arquivos cifrados - **Nota de resgaté:** `Restore-My-Files.txt` em todos os diretórios - **Exclusões:** Arquivos do sistema operacional essenciais para funcionamento básico **StealBit:** Ferramenta proprietária do LockBit para exfiltração de dados antes da cifragem - implementa dupla extorsão (pagar ou dados vazados no leak site). ### Resolução de API por Hash Para dificultar análise estática, o LockBit 3.0 não importa APIs diretamente. Em vez disso, itera pelos DLLs em System32, aplica hash aos nomes de export e compara com hashes alvo. Usa **trampolins** (pequenos chunks de memória alocados) para chamar as APIs identificadas - evitando rastreamento por import hash. ## Attack Flow ```mermaid graph TB A["🔑 Acesso Inicial<br/>RDP bruto / credenciais IAB<br/>VPN exploitada / phishing"] --> B["🔧 Pós-exploração<br/>Cobalt Strike / Impacket<br/>Mimikatz para credenciais"] B --> C["🌐 Reconhecimento<br/>Enumeração AD / domínio<br/>Identificação de backups"] C --> D["📤 Exfiltração (StealBit)<br/>Dados roubados antes da cifra<br/>Dupla extorsão preparada"] D --> E["⚙️ Preparação<br/>Kill antivírus<br/>GPO Modification T1484.001"] E --> F["🔄 Safe Mode Boot<br/>bcdedit safeboot networkmode<br/>Reinicia sem EDR ativo"] F --> G["🗑️ Limpeza de Logs<br/>wevtutil clear ALL<br/>Dificulta análise forense"] G --> H["🔒 Cifragem em Massa<br/>Salsa20+RSA-1024 custom<br/>Extensão .lockbit3"] H --> I["💀 Nota de Resgaté<br/>Restore-My-Files.txt<br/>Wallpaper + leak site ativo"] classDef access fill:#e74c3c,stroke:#c0392b,color:#fff classDef lateral fill:#e67e22,stroke:#d35400,color:#fff classDef recon fill:#27ae60,stroke:#1e8449,color:#fff classDef exfil fill:#f39c12,stroke:#d68910,color:#fff classDef prep fill:#8e44ad,stroke:#7d3c98,color:#fff classDef evasion fill:#2980b9,stroke:#1a5276,color:#fff classDef impact fill:#c0392b,stroke:#922b21,color:#fff class A access class B lateral class C recon class D exfil class E,F,G prep class H,I impact ``` ## Superfície de Ataque: Do Acesso ao Impacto ```mermaid graph TB subgraph acesso["Acesso Inicial"] A1["RDP bruto-forcado<br/>Credenciais IAB"] A2["VPN / Exchange<br/>Exploit app exposta"] A3["Phishing com Cobalt Strike<br/>Macro / HTA"] end subgraph preransom["Pre-Ransomware"] B1["Cobalt Strike Beacon<br/>Impacket / Mimikatz"] B2["Enumeracao AD<br/>Identificação de backups"] B3["StealBit - Exfiltração<br/>Dupla extorsao preparada"] end subgraph evasão["Evasão de Defesas"] C1["Safe Mode Boot<br/>bcdedit safeboot network"] C2["Kill antivirus / EDR<br/>GPO Modification T1484"] C3["wevtutil cl - limpa logs<br/>Dificulta forense"] end subgraph impacto["Impacto"] D1["Cifragem Salsa20+RSA<br/>Extensao .lockbit3"] D2["Shadow copy deletado<br/>Backups destruidos"] D3["Nota de resgaté<br/>Wallpaper + leak site"] end A1 --> B1 A2 --> B1 A3 --> B1 B1 --> B2 B2 --> B3 B3 --> C1 C1 --> C2 C2 --> C3 C3 --> D1 D1 --> D2 D2 --> D3 classDef access fill:#cc0000,color:#fff classDef preR fill:#cc6600,color:#fff classDef evasion fill:#1a3a5c,color:#fff classDef impact fill:#cc0000,color:#fff class A1,A2,A3 access class B1,B2,B3 preR class C1,C2,C3 evasion class D1,D2,D3 impact ``` ## TTPs Mapeados | Tática | Técnica | Uso | |--------|---------|-----| | Initial Access | [[t1133-external-remote-services\|T1133]] | RDP e VPNs vulneráveis - vetor primário | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais compradas de IABs | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para download e execução de stagers | | Execution | [[t1569-002-service-execution\|T1569.002]] | Execução via serviços Windows criados | | Persistence | [[t1543-003-windows-service\|T1543.003]] | Criação de serviço Windows para persistência | | Privilege Escalation | [[t1548-002-bypass-user-account-control\|T1548.002]] | Bypass de UAC | | Defense Evasion | [[t1562-009-safe-mode-boot\|T1562.009]] | Boot em Modo Seguro com rede para desativar EDR | | Defense Evasion | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de todos os logs de eventos Windows | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | Packing do payload para evadir assinaturas | | Defense Evasion | [[t1614-001-system-language-discovery\|T1614.001]] | Verifica idioma do sistema antes de executar | | Lateral Movement | [[t1484-001-group-policy-modification\|T1484.001]] | Propagação via GPO no Active Directory | | Collection | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via StealBit antes da cifragem | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem massiva com Salsa20+RSA-1024 | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies e backups | | Impact | [[t1491-001-internal-defacement\|T1491.001]] | Wallpaper com nota de resgaté | ## Linha do Tempo da Família LockBit ```mermaid gantt title Versoes LockBit - Linha do Tempo dateFormat YYYY-MM section Versoes LockBit 1.0 - RaaS básico :2019-09, 2021-06 LockBit 2.0 - GPO + StealBit :2021-06, 2022-06 LockBit 3.0 (Black) - Salsa20 :2022-06, 2024-02 LockBit Green - código Conti :2023-01, 2024-02 LockBit NG-Dev (4.0) .NET :2023-10, 2024-02 section Eventos Código-fonte vazado :milestone, 2022-09, 0d Operação Cronos - NCA/FBI :milestone, 2024-02, 0d Khoroshev identificado :milestone, 2024-05, 0d LockBit 5.0 confirmado :2025-09, 2026-03 ``` ## Operação Cronos (Fevereiro 2024) Em **19 de fevereiro de 2024**, a Operação Cronos - coordenada pela NCA do Reino Unido com participação de FBI, Europol e parceiros de mais de 10 países - resultou em: - **Infraestrutura:** 34 servidores apreendidos em múltiplos países; site de leak e portais de afiliados derrubados e repropositados para disseminar informações sobre a operação - **Finanças:** Mais de 200 carteiras de criptomoedas congeladas; 14.000 contas removidas - **Prisões:** 3 afiliados presos na Polônia e Ucrânia; indiciamentos contra russos Artur Sungatov e Ivan Kondratyev ("Bassterlord") - **Identificação:** Em maio de 2024, **Dmitry Khoroshev** ("LockBitSupp"), administrador principal, foi identificado e indiciado com recompensa de USD 10 milhões - **Chaves de decriptação:** Disponibilizadas gratuitamente via portal NoMoreRansom e IC3 **Lição crítica:** Descobriu-se que o LockBit NÃO deletava os dados das vítimas após o pagamento do resgaté - contradizendo promessas feitas durante negociações. **Resposta pós-Cronos:** O LockBit relançou novo site em menos de uma semana. Pesquisadores identificaram que parte das vítimas públicadas eram recicladas de antes da operação. Apesar disso, o grupo continuou operações com base em código-fonte legado e versão NG-Dev. Em setembro de 2025, LockBit 5.0 foi confirmado em ataques ativos. ## Relevância para o Brasil e LATAM > [!danger] Ransomware #1 em Vítimas Documentadas no Brasil (2022-2024) > O LockBit 3.0 foi o ransomware com maior número de vítimas brasileiras documentadas em seu site de leak entre 2022 e o início de 2024. Dezenas de organizações brasileiras foram listadas públicamente, incluindo empresas dos setores de manufatura, logística, saúde, educação e varejo. O modelo RaaS com afiliados localizados no Brasil e LATAM permite que o grupo escale ataques sem centralização operacional. > [!warning] Pós-Cronos: O Código Vazou e Continua em Uso > O código-fonte do LockBit 3.0 vazou em setembro de 2022 por um desenvolvedor desonesto. Grupos independentes com acesso ao código - sem ligação com a operação central - continuam usando-o para ataques. SOCs brasileiros devem tratar LockBit 3.0 como ameaça permanente independentemente do status da gangue original. > [!tip] Setores Mais Atacados no Brasil > - **Manufatura e indústria:** Maior concentração de vítimas públicadas > - **Logística e transporte:** Impacto operacional crítico, maior propensão a pagar resgaté > - **Saúde:** Hospitais e clínicas, dados sensíveis como alavanca de pressão > - **Educação:** Universidades com dados de pesquisa e perfis de estudantes > - **Varejo e e-commerce:** Dados de clientes e sistemas de pagamento ## Detecção > [!tip] Indicadores Comportamentais Prioritários **Safe Mode Boot (T1562.009) - maior prioridade:** ```sigma title: LockBit Safe Mode Boot Modification status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: '\bcdedit.exe' CommandLine|contains: - 'safeboot' - 'networkmode' condition: selection level: critical tags: - attack.defense-evasion - attack.t1562.009 - code/distill ``` **Limpeza de Event Logs:** - Monitorar `wevtutil cl` em múltiplos logs simultaneamente - cobertura de rastros característica do LockBit - Sysmon Event ID 1 com `wevtutil` + `cl` + múltiplos logs na mesma sessão **Modificação de GPO:** - Event ID 5136 (Modificação de objeto DS) em objetos de Política de Grupo - `gpcmachineextensionnames` modificado para apontar para UNC paths externos **Shadow Copy Deletion:** - `vssadmin delete shadows /all /quiet` - `wmic shadowcopy delete` - Ambos detectados via Sysmon Event ID 1 com hash conhecido **Indicadores de pré-ransom (Pré-cifragem):** - Massa de renomeação de arquivos em curto período (Process Monitor) - Criação de `Restore-My-Files.txt` em múltiplos diretórios - Alteração do wallpaper via registro (`HKCU\Control Panel\Desktop\Wallpaper`) ## Referências - [CISA Advisory AA23-165A - LockBit 3.0](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a) - 2023-06-14 - [SentinelOne - LockBit 3.0 Analysis, Detection, and Mitigation](https://www.sentinelone.com/anthology/lockbit-3-0-lockbit-black/) - 2025 - [Trend Micro - Operation Cronos Aftermath](https://www.trendmicro.com/es_es/research/24/d/operation-cronos-aftermath.html) - 2024-04-03 - [Picus Security - The LockBit Comeback: LockBit 5.0](https://www.picussecurity.com/resource/blog/the-lockbit-comeback-how-the-group-evolved-after-a-global-takedown) - 2025-12 - [Global Initiative - The LockBit Takedown](https://globalinitiative.net/analysis/the-lockbit-takedown-law-enforcement-trolls-ransomware-gang/) - 2024-04 - [TRM Labs - LockBit Leak: Inside the RaaS Enterprise](https://www.trmlabs.com/resources/blog/lockbit-leak-provides-insight-into-raas-enterprise) - 2025-05-14 - [MITRE ATT&CK - S1202](https://attack.mitre.org/software/S1202)