> [!warning] Aviso Importante > Este playbook é um ponto de partida. Deve ser revisado, testado e adaptado ao ambiente da sua organização. Não substitui um plano formal de Incident Response. Queries e comandos devem ser válidados em ambiente de homologação antes do uso em produção. Itens marcados com `# [VALIDAR NO SEU AMBIENTE]` exigem ajuste obrigatório antes do uso operacional. ## Visão Geral O [[lockbit]] é um dos grupos de ransomware-as-a-service (RaaS) mais ativos e destrutivos do mundo, em operação desde 2019. O grupo é responsável por ataques de dupla extorsão — criptografia de dados combinada com exfiltração e ameaça de públicação — e mantém um ecossistema próprio com portal de afiliados, builder kit, site de vazamentos e múltiplas variantes de malware. O [[lockbit]] evoluiu através de diversas versões (LockBit 2.0, 3.0 / LockBit Black, LockBit Green, e LockBit 5.0 anunciado em setembro de 2024), após a **Operação Cronos** de fevereiro de 2024, coordenada por agências de 11 países, que apreendeu a infraestrutura do grupo. Mesmo assim, a operação se reconstituiu em menos de 7 meses, evidênciando a resiliência estrutural do modelo RaaS. **Por que este playbook é crítico:** - LockBit representou ~13% de todos os ataques de ransomware globais em 2024 - Utiliza **StealBit** - ferramenta proprietária de exfiltração paralela de dados via HTTP PUT - antes de criptografar - Afiliados exploram credenciais comprometidas via [[cve-2023-4966|CVE-2023-4966]] (Citrix Bleed) - Deleta sistematicamente shadow copies, backups e desabilita ferramentas de defesa **Notas relacionadas:** [[lockbit]] · [[lockbit]] · [[lockbit-citrix-bleed-2023]] · [[operation-cronos]] · [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] · [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] --- ## Fluxo de Resposta ao Incidente ```mermaid flowchart TD A([🚨 Alerta: Criptografia em Massa]) --> B{Confirmar Ransomware} B -->|IoCs presentes| C[DECLARAR INCIDENTE P1] B -->|Incerto| D[Análise Forense Rápida<br/>15 minutos] D --> C C --> E[Notificar CISO + On-call IR] E --> F{Exfiltração\nem curso?} F -->|Sim| G[Bloquear<br/>Conexões Externas<br/>no Firewall] F -->|Não/Desconhecido| H[Monitorar e Isolar] G --> I[CONTENÇÃO] H --> I I --> I1[Isolar Hosts Afetados<br/>via EDR ou VLAN] I1 --> I2[Desabilitar Contas<br/>Comprometidas no AD] I2 --> I3[Revogar Tokens<br/>Ativos] I3 --> J[COLETA FORENSE] J --> J1[Imagem de RAM<br/>Volatility] J1 --> J2[Imagem de Disco<br/>KAPE / FTK Imager] J2 --> J3[Preservar Logs<br/>no SIEM] J3 --> K[ERRADICAÇÃO] K --> K1[Identificar Vetor<br/>de Acesso Inicial] K1 --> K2[Remover Persistência<br/>de Todos os Sistemas] K2 --> K3[Resetar Credenciais<br/>Comprometidas] K3 --> L[RECUPERAÇÃO] L --> L1[Restaurar de<br/>Backup Limpo] L1 --> L2[Validar Integridade<br/>Antes de Reconectar] L2 --> L3[Monitoramento<br/>Intensivo 30 dias] L3 --> M([✅ Incidente Encerrado]) style A fill:#ff4444,color:#fff style C fill:#ff6600,color:#fff style M fill:#00aa44,color:#fff style I fill:#ffaa00,color:#000 style K fill:#0066cc,color:#fff style L fill:#006633,color:#fff ``` --- ## Diagrama de Comúnicação ```mermaid sequenceDiagram participant SOC as SOC Analyst participant IR as IR Lead participant CISO as CISO participant Legal as Jurídico/DPO participant Exec as Executivos participant CERT as CERT.br / ANPD participant PR as Comúnicação/PR SOC->>IR: T+0min: Alerta confirmado — ransomware ativo IR->>CISO: T+5min: Declaração de incidente P1 CISO->>Exec: T+15min: Briefing inicial (impacto, ações em curso) IR->>Legal: T+20min: Avaliação LGPD — dados pessoais afetados? Note over IR,Legal: Usar canal seguro (Signal/fora do ambiente) Legal->>CISO: T+30min: Parecer sobre obrigações regulatórias CISO->>Exec: T+1h: Updaté — escopo estimado, timeline de recuperação Legal->>CERT: T+72h: Notificação ANPD (se dados pessoais afetados) IR->>CISO: T+4h: Relatório de contenção completo CISO->>PR: T+6h: Decisão sobre comunicação externa PR->>Exec: T+8h: Rascunho de comunicado (se necessário) IR->>CISO: T+24h: Status de erradicação e cronograma de recuperação IR->>Exec: T+72h: Relatório preliminar de post-mortem ``` --- ## Indicadores de Comprometimento (Pré-Execução) > [!danger] Atenção > Detectar o LockBit ANTES da fase de criptografia é o objetivo principal. A maioria dos danos ocorre nos minutos que antecedem a execução do payload. ### Fase 1 - Acesso Inicial Os afiliados do LockBit utilizam primariamente: 1. **Credenciais comprometidas** compradas de initial access brokers (IABs) 2. **RDP exposto** - brute force em porta 3389 3. **Phishing via** [[t1566-phishing|T1566 - Phishing]] com anexos maliciosos 4. **Exploração de vulnerabilidades** - notadamente [[cve-2023-4966|CVE-2023-4966]] (Citrix Bleed, CVSS 9.4) 5. **Acesso interno** - recrutamento de insiders em fóruns da dark web **Indicadores de acesso inicial:** - Logins bem-sucedidos (EventID 4624) de IPs geográfica e horarialmente atípicos - Múltiplas falhas de autenticação (EventID 4625) seguidas de sucesso - Conexões RDP externas fora do horário comercial ### Fase 2 - Reconhecimento e Descoberta | Ferramenta | Comando típico | Objetivo | |------------|---------------|---------| | `nltest.exe` | `nltest /domain_trusts /all_trusts` | Enumerar trusts de domínio | | `net.exe` | `net group "Domain Admins" /domain` | Descobrir contas privilegiadas | | `ADRecon` | execução via PowerShell | Dump completo do Active Directory | | `wmic` | `wmic /node: process list` | Listar processos remotamente | ### Fase 3 - Exfiltração via StealBit O LockBit usa **StealBit** para exfiltração paralela antes de criptografar. Indicadores: - Transferências HTTP PUT para IPs externos em portas não-padrão - Alto volume de I/O de disco + tráfego de rede simultâneos - Processos desconhecidos com handles em múltiplos diretórios de arquivos ### Fase 4 - Pré-Criptografia - Comandos `vssadmin delete shadows /all /quiet` (EventID 4688) - `wmic shadowcopy delete` via script - Desabilitação de Windows Defender: `Set-MpPreference -DisableRealtimeMonitoring $true` - Encerramento de processos de banco de dados e backup antes da criptografia --- ## Ferramentas Recomendadas ### Detecção e Triagem | Ferramenta | Uso | Comando Chave | |------------|-----|---------------| | **CrowdStrike Falcon** | EDR - detecção em tempo real, isolamento de host | `falcon-sensor-ctl --containment enable` | | **SentinelOne** | EDR - rollback automático de arquivos criptografados | Sentinel Console → Threat → Disconnect Network | | **Microsoft Defender for Endpoint** | EDR integrado ao M365 | `Invoke-MDELiveResponse -DeviceId $id -Script isolaté.ps1` | | **Velociraptor** | DFIR - coleta remota em escala | `velociraptor artifacts collect Windows.Detection.Ransomware` | ### Forense | Ferramenta | Uso | Comando/Exemplo | |------------|-----|----------------| | **Volatility 3** | Análise de memória RAM | `python3 vol.py -f mem.raw windows.pslist` | | **KAPE** | Triage forense rápida de endpoints | `kape.exe --tsource C: --tdest D:\evidence --tflush --target !SANS_Triage` | | **FTK Imager** | Imagem forense de disco | GUI: File → Create Disk Image → Physical Drive | | **Autopsy** | Análise de imagem forense | Abrir `.E01` e executar módulos de análise | | **Magnet RAM Capture** | Captura de memória RAM | `MagnetRAMCapture.exe /accepteula /go` | ### Rede | Ferramenta | Uso | |------------|-----| | **Wireshark** | Análise de tráfego capturado - filtrar por `http.request.method == "PUT"` | | **Zeek (Bro)** | Análise de logs de rede - detectar exfiltração StealBit | | **NetworkMiner** | Extração de arquivos de capturas PCAP | | **tcpdump** | Captura em tempo real: `tcpdump -i eth0 -w lockbit_capture.pcap port not 443` | ### Threat Intelligence | Ferramenta | Uso | |------------|-----| | **MISP** | Compartilhar e consumir IoCs LockBit em tempo real | | **OpenCTI** | Plataforma de CTI - correlacionar incidente com campanhas conhecidas | | **VirusTotal** | Verificar hashes, domínios e IPs suspeitos | | **ANY.RUN** | Sandbox interativo para análise de payloads LockBit | --- ## Checklist de Contenção > [!danger] Execute na ordem exata — cada passo depende do anterior - [ ] **T+0** - Confirmar ransomware via EDR/SIEM - não agir antes da confirmação - [ ] **T+5min** - Declarar incidente P1 e acionar IR lead e CISO - [ ] **T+10min** - Identificar hosts afetados via EDR (CrowdStrike/SentinelOne/MDE) - [ ] **T+15min** - Isolar hosts afetados via EDR (network containment) - **NÃO desligar** - [ ] **T+20min** - Bloquear no firewall os IPs/domínios de C2 identificados nos logs - [ ] **T+25min** - Desabilitar no AD as contas comprometidas usadas pelo atacante - [ ] **T+30min** - Revogar sessões ativas no Entra ID / Azure AD (se ambiente híbrido) - [ ] **T+35min** - Identificar e isolar DCs (Domain Controllers) se movimento lateral detectado - [ ] **T+40min** - Verificar e proteger sistemas de backup - confirmar que backups não foram afetados - [ ] **T+45min** - Capturar imagem de memória RAM dos sistemas afetados com **Magnet RAM Capture** - [ ] **T+1h** - Preservar logs em sistema isolado - copiar logs SIEM, EDR, Windows Event Logs - [ ] **T+1h** - Acionar jurídico/DPO para avaliação LGPD (dados pessoais afetados?) - [ ] **T+2h** - Verificar se o ataque ainda está em curso - monitorar tráfego de saída - [ ] **T+4h** - Relatório de contenção: escopo, hosts isolados, ações tomadas --- ## Checklist de Erradicação - [ ] Identificar vetor de acesso inicial - RDP brute force? Phishing? CVE? IAB? - [ ] Mapear extensão completa do movimento lateral via logs de autenticação (EventID 4624, 4648) - [ ] Verificar persistência: tarefas agendadas, serviços, registry Run keys, WMI subscriptions - [ ] Buscar StealBit ou outros artefatos de exfiltração em todos os sistemas afetados - [ ] Reimaging completo de todos os sistemas confirmadamente comprometidos - [ ] Resetar senha de TODOS os usuários de domínio - começar pelos administradores - [ ] Resetar senha do KRBTGT duas vezes (com 10h de intervalo) para inválidar Kerberos tickets - [ ] Revogar e regenerar todos os certificados comprometidos - [ ] Verificar e remover qualquer backdoor persistente via scan com KAPE + Velociraptor - [ ] Fechar vetores de acesso inicial: aplicar patch do [[cve-2023-4966|CVE-2023-4966]], desabilitar RDP externo, habilitar MFA - [ ] Confirmar que ferramentas de defesa (AV/EDR) estão reativas em todos os endpoints --- ## Checklist de Recuperação - [ ] Identificar último backup limpo - anterior ao comprometimento - [ ] Validar integridade dos backups com hashes SHA256 antes de restaurar - [ ] Restaurar em ambiente isolado primeiro - verificar antes de reconectar à rede - [ ] Restaurar sistemas em ordem de prioridade de negócio (BCP/DRP) - [ ] Aplicar todos os patches de segurança antes de reconectar à rede - [ ] Habilitar monitoramento intensivo pós-recuperação (30 dias) - [ ] Configurar alertas específicos para IoCs LockBit no SIEM - [ ] Avaliar se dados exfiltrados foram publicados no site de vazamentos do LockBit - [ ] Documentar escopo de dados possívelmente exfiltrados para avaliação regulatória - [ ] Comúnicar usuários/clientes afetados conforme LGPD (se dados pessoais expostos) --- ## Indicadores a Buscar ### Hashes de Payload LockBit (documentados públicamente) ``` # LockBit 3.0 / LockBit Black - amostras públicas SHA256: 80e8defa5377018b093b5b90de0f2957f7062144b83d798f38cfbe528de1aa141 SHA256: f32e9fb8b1ea57f073b64f35b7549df8aa61cc9f4e2e5a8a4b4c3d3a5e9f2b11 # LockBit 2.0 - amostras públicas (CISA AA23-075A) SHA256: b43a5e1ae5b459a0c08892cf7fe63a93c23fa419a1f2b8b52024d440b8d97b99 ``` > [!warning] Sempre válidar hashes no VirusTotal antes de usar operacionalmente. LockBit atualiza payloads frequentemente. ### Extensões de Arquivo Criptografado ``` *.lockbit # LockBit 2.0 *.{ID único} # LockBit 3.0 — extensão randomizada (ex: *.abcd1234) *.{TOKEN} # LockBit Green — baseado em Conti ``` ### Nota de Resgaté - Arquivo: `Restore-My-Files.txt` (LockBit 2.0) ou `[nome-randomizado]-README.txt` (LockBit 3.0) - Papel de parede do desktop: alterado para wallpaper LockBit --- ## Queries de Detecção ### Splunk - Deleção de Shadow Copies ```spl index=windows EventCode=4688 (CommandLine="*vssadmin*delete*shadows*" OR CommandLine="*wmic*shadowcopy*delete*" OR CommandLine="*bcdedit*recoveryenabled*no*") | stats count by Computer, User, CommandLine | sort -count ``` ### Splunk - Desabilitação do Windows Defender ```spl index=windows EventCode=4688 CommandLine IN ("*Set-MpPreference*DisableRealtimeMonitoring*", "*sc stop WinDefend*", "*reg add*DisableAntiSpyware*") | table _time, Computer, User, CommandLine ``` ### Splunk - Detecção de Exfiltração StealBit (HTTP PUT em volume) ```spl index=proxy method=PUT | stats sum(bytes) AS total_bytes count AS requests by dest_ip, src_ip | where total_bytes > 104857600 | sort -total_bytes ``` ### KQL - Microsoft Sentinel - Detecção de Ransomware por Renomeação em Massa ```kql DeviceFileEvents | where ActionType == "FileRenamed" | summarize RenameCount = count(), Extensions = make_set(InitiatingProcessFileName) by DeviceName, InitiatingProcessFileName, bin(Timestamp, 5m) | where RenameCount > 100 | order by RenameCount desc ``` ### KQL - Microsoft Sentinel - Vssadmin / Bcdedit ```kql DeviceProcessEvents | where ProcessCommandLine has_any ("vssadmin", "bcdedit", "wbadmin") and ProcessCommandLine has_any ("delete", "off", "disable") | project Timestamp, DeviceName, AccountName, ProcessCommandLine | order by Timestamp desc ``` ### Sigma Rule - LockBit Execution ```yaml title: LockBit Ransomware Pre-Execution Indicators status: experimental description: Detects LockBit pre-encryption activities including shadow copy deletion and defense disabling logsource: category: process_creation product: windows detection: selection_vss: CommandLine|contains: - 'vssadmin delete shadows' - 'wmic shadowcopy delete' selection_defender: CommandLine|contains: - 'Set-MpPreference -DisableRealtimeMonitoring' - 'sc stop WinDefend' condition: selection_vss or selection_defender level: high tags: ``` --- ## Comúnicação ### Escalonamento Imediato (T+0 a T+30min) | Destinatário | Canal | Conteúdo | |---|---|---| | IR Lead | Telefone/Signal | "Ransomware confirmado - acionar P1" | | CISO | Telefone direto | Escopo inicial, ações tomadas | | Jurídico/DPO | Canal seguro | Avaliação LGPD obrigatória | > [!danger] Use canal out-of-band (Signal, telefone) — o e-mail corporativo pode estar comprometido ### Templaté - Notificação para Executivos (T+1h) ``` DATA: [data/hora] CLASSIFICAÇÃO: CONFIDENCIAL — INCIDENTE DE SEGURANÇA SUMÁRIO Identificamos um ataque de ransomware ativo em nossa infraestrutura. SITUAÇÃO ATUAL - Sistemas afetados: [lista] - Dados possívelmente exfiltrados: [avaliação preliminar] - Serviços impactados: [lista] - Contenção: [em andamento / concluída às HH:MM] AÇÕES EM CURSO - IR team isolou [N] sistemas comprometidos - Backups verificados: [status] - Investigação forense: em andamento PRÓXIMOS PASSOS - Próximo updaté em: [horário] - Estimativa de recuperação: [timeframe] - Avaliação de notificação regulatória: em andamento PONTO DE CONTATO: [nome, telefone] ``` ### Notificação LGPD / ANPD Se dados pessoais foram exfiltrados, a notificação à **ANPD** deve ocorrer em prazo razoável (máximo 72h após confirmação) conforme Art. 48 da LGPD. Consulte o DPO antes de qualquer comunicação externa. --- ## Lições Aprendidas - Templaté de Post-Mortem ### Cronologia do Incidente | Evento | Data/Hora | Responsável | |--------|-----------|-------------| | Primeiro indicador retroativo (TTD inicial) | | | | Alerta gerado no SIEM/EDR | | | | Confirmação de ransomware | | | | Declaração de incidente P1 | | | | Contenção completa | | | | Erradicação concluída | | | | Recuperação completa | | | ### Métricas de Impacto | Métrica | Valor | |---------|-------| | Tempo de dwell (presença antes da detecção) | | | MTTD - Mean Time to Detect | | | MTTC - Mean Time to Contain | | | MTTR - Mean Time to Recover | | | Número de sistemas criptografados | | | Volume estimado de dados exfiltrados | | | Custo total do incidente (R$) | | ### Questões Obrigatórias 1. Qual foi o vetor de acesso inicial? 2. Por que o acesso inicial não foi detectado em tempo real? 3. Quanto tempo o atacante permaneceu no ambiente antes de executar? 4. Os backups estavam protegidos e íntegros? 5. Quais controles falharam ou estavam ausentes? 6. O playbook foi eficaz? O que precisa ser atualizado? ### Melhorias Recomendadas - [ ] Implementar EDR com cobertura 100% dos endpoints - [ ] Habilitar MFA para todos os acessos remotos (RDP, VPN, Citrix) - [ ] Implementar regra de firewall bloqueando RDP externo - [ ] Backup offline e imutável (regra 3-2-1-1) - [ ] Exercício de tabletop de ransomware semestral - [ ] Implementar segmentação de rede para limitar blast radius --- ## Referências - [[lockbit]] - perfil completo do grupo - [[lockbit]] - análise técnica do malware - [[cve-2023-4966|CVE-2023-4966]] - Citrix Bleed (CVSS 9.4) usado pelos afiliados LockBit - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - técnica MITRE ATT&CK - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - deleção de shadow copies - [[t1041-exfiltration-c2|T1041 - Exfiltration Over C2 Channel]] - exfiltração via StealBit - [[operation-cronos]] - operação policial de 2024 contra o LockBit - [CISA Alert AA23-075A - LockBit](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a) - [FBI LockBit Indicators of Compromise](https://www.ic3.gov/Media/News/2022/220204.pdf) --- *Última revisão: 2026-03-23 | Próxima revisão recomendada: 2026-09-23*