# StealBit > Tipo: **ferramenta de exfiltração** - S1200 - [MITRE ATT&CK](https://attack.mitre.org/software/S1200) > [!warning] Ferramenta de Dupla Extorsao LockBit > StealBit e a ferramenta proprietaria de exfiltração desenvolvida pelo grupo [[lockbit|LockBit]] RaaS, disponibilizada a afiliados para roubo de dados antes da criptografia. Componente central da estratégia de **dupla extorsao** que tornou o LockBit o ransomware mais devastador de 2022-2024. ## Visão Geral [[s1200-stealbit|StealBit]] e uma ferramenta de exfiltração de dados desenvolvida e mantida pelos operadores do ransomware [[lockbit|LockBit]] como Servico (RaaS), oferecida a afiliados para exfiltrar dados de sistemas comprometidos com fins de **dupla extorsao**. Introduzida com o [[lockbit|LockBit]] 2.0 em 2021, o StealBit automatiza completamente o processo de roubo de dados antes que a criptografia sejá ativada, garantindo que a vitima pague o resgaté mesmo que tenha backups adequados. O StealBit e notavel por sua **eficiencia técnica extrema**: utiliza o modelo de I/O completion port da Microsoft para paralelizar a exfiltração de múltiplos arquivos simultaneamente, reduzindo drasticamente o tempo necessário e, por conseguinte, as chances de detecção. Versoes mais antigas evitavam execução em paises da antiga URSS (Russia, Ucrania, Bielorrusia, etc.), porém amostras mais recentes removeram essa restricao geografica, ampliando o alcance do ataque. A ferramenta e distribuida como binario standalone aos afiliados do [[lockbit|LockBit]] RaaS através do painel administrativo do grupo, com configuracoes personalizaveis de tipos de arquivo alvo e taxa de exfiltração. **Plataformas:** Windows ## Como Funciona O StealBit opera em etapas altamente otimizadas para velocidade e furtividade: 1. **Anti-análise:** Detecta ambiente de debugging via flag `BeingDebugged` no PEB e entra em loop infinito vazio ao invez de terminar, evitando alertas de análise 2. **Inicializacao modular:** Desofusca nomes de DLLs (advapi32, ntdll, ws2_32, etc.) armazenados com XOR e carrega dinâmicamente via `LoadLibraryExA` 3. **Reconhecimento:** Enumera nome do computador, dominio e localidade do sistema comprometido via [[t1082-system-information-discovery|T1082]] 4. **Enumeracao de arquivos:** Busca arquivos conforme configuração de tipos específicados pelo operador via [[t1083-file-and-directory-discovery|T1083]] 5. **IPC paralelo:** Usa comunicação entre processos [[t1559-inter-process-communication|T1559]] para designar múltiplos arquivos para exfiltração em escala 6. **Exfiltração paralela:** Usa Microsoft I/O completion port threading para transmitir conteudo de múltiplos arquivos simultaneamente via [[t1071-001-web-protocols|T1071.001]] 7. **Controle de taxa:** Configuravel para exfiltrar em taxa específica, evitando anomalias de rede [[t1030-data-transfer-size-limits|T1030]] 8. **Auto-delecao:** Remove o proprio executavel após conclusao via [[t1070-004-file-deletion|T1070.004]] ```mermaid graph TB A["LockBit Afiliado<br/>Acesso inicial obtido"] --> B["Deploy StealBit<br/>Configurado pelo painel RaaS"] B --> C["Anti-debug<br/>Loop infinito se debugger"] C --> D["Carga dinâmica DLLs<br/>XOR deobfuscation"] D --> E["Reconhecimento<br/>T1082 - Info sistema"] E --> F["Enumeracao arquivos<br/>T1083 - Tipos configurados"] F --> G["IPC paralelo<br/>T1559 - Multiplos processos"] G --> H["Exfiltração paralela<br/>I/O completion port"] H --> I["Raté limiting<br/>T1030 - Evasão rede"] I --> J["Auto-delecao<br/>T1070.004 - Limpeza"] J --> K["LockBit ransomware<br/>Criptografia ativada"] K --> L["Site de vazamento<br/>Dupla extorsao"] ``` ## Timeline de Eventos ```mermaid timeline title StealBit - Evolução e Incidentes 2021 : LockBit 2.0 lancado com StealBit integrado : Primeira ferramenta de exfiltração propria de um RaaS 2022 : LockBit 3.0 (Black) lancado : StealBit otimizado com novos mecanismos de evasão : Restricao geografica CIS presente em amostras antigas 2023 : FBI/CISA publicam advisory AA23-075A sobre LockBit 3.0 : Amostras novas removem restricao geografica : MITRE ATT&CK cataloga como S1200 2024 : Operation Cronos - Fevereiro : Takedown da infraestrutura LockBit pelo FBI/Europol : StealBit ainda ativo com afiliados operando ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1622-debugger-evasion\|T1622]] | Loop vazio infinito ao detectar debugger | | [[t1559-inter-process-communication\|T1559]] | IPC para designar arquivos em escala | | [[t1070-004-file-deletion\|T1070.004]] | Auto-delecao do executavel após exfiltração | | [[t1030-data-transfer-size-limits\|T1030]] | Taxa de exfiltração configuravel para evasão | | [[t1027-013-encryptedencoded-file\|T1027.013]] | Nomes de DLL armazenados com XOR obfuscation | | [[t1106-native-api\|T1106]] | LoadLibraryExA, NtSetInformationProcess via API nativa | | [[t1082-system-information-discovery\|T1082]] | Enumera computador e dominio do alvo | | [[t1480-execution-guardrails\|T1480]] | Verificação de senha em LockBit 3.0 | | [[t1005-data-from-local-system\|T1005]] | Upload de dados ao site de vazamento LockBit | | [[t1614-001-system-language-discovery\|T1614.001]] | Versoes antigas evitavam paises CIS | | [[t1562-006-indicator-blocking\|T1562.006]] | NtSetInformationProcess para suprimir erros Windows | | [[t1095-non-application-layer-protocol\|T1095]] | Windows Socket (ws2_32) para comunicação C2 | | [[t1071-001-web-protocols\|T1071.001]] | HTTP para exfiltrar arquivos para infraestrutura do ator | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Desofusca módulos DLL antes da execução | | [[t1083-file-and-directory-discovery\|T1083]] | Configura tipos de arquivo específicos para exfiltrar | ## Grupos que Usam - [[lockbit|LockBit]] - desenvolvedor e operador principal; disponibilizado a afiliados RaaS ## Impacto no Brasil e LATAM O [[lockbit|LockBit]] possui historico significativo de ataques contra organizacoes brasileiras, tornando o StealBit uma ameaça de exfiltração de alto risco para a regiao. Setores financeiro, governo e infraestrutura critica no Brasil foram alvos documentados de campanhas LockBit. A remoção da restricao geografica em versoes recentes significa que qualquer afiliado pode agora utilizar o StealBit contra alvos brasileiros sem restricao técnica. > [!danger] Indicador de Ransomware Iminente > A detecção de StealBit em uma rede significa que o ransomware LockBit provavelmente sera implantado em minutos. Resposta imediata de isolamento de rede e mandatoria. ## Detecção - Monitorar criação de processos filho com I/O completion ports em processos nao-usuais - Alertar para exfiltração em rafaga para IPs externos, especialmente com taxa constante (comportamento T1030) - Detectar `LoadLibraryExA` com argumentos desobfuscados em processos novos - Implementar monitoramento de volume de transferencia de dados em endpoints - Buscar presenca de ferramentas LockBit via hash no [[t1082-system-information-discovery|T1082]] antes do ransomware - Regras de detecção: consultar [[m1030-network-segmentation|M1030 - Segmentacao de rede]] e [[m1037-filter-network-traffic|M1037 - Filtro de trafego]] ## Referências - [MITRE ATT&CK - S1200](https://attack.mitre.org/software/S1200) - [Cybereason - Inside the LockBit Arsenal: StealBit](https://www.cybereason.com/blog/research/threat-analysis-report-inside-the-lockbit-arsenal-the-stealbit-exfiltration-tool) - [CISA Advisory AA23-075A - LockBit 3.0](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a) - [Trend Micro - Ransomware Spotlight LockBit](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit) - [Sophos - MITRE ATT&CK Evaluations StealBit](https://www.sophos.com/en-us/blog/keeping-it-real-sophos-and-the-2024-mitre-attck-evaluations-enterprise)