# PROC — LockBit: Procedimento Completo de Dupla Extorsão ## Visão Geral O [[lockbit|LockBit]] é o grupo de Ransomware-as-a-Service (RaaS) mais prolífico da história recente, responsável por mais ataques documentados do que qualquer outro grupo entre 2022 e 2024. Seu modelo de **dupla extorsão** transformou o ransomware de um problema de disponibilidade de dados em uma crise de confidencialidade: além de cifrar os dados para interromper operações, os afiliados exfiltram cópias completas antes da cifragem e ameaçam publicá-las no "LockBit Data Leak Site" na dark web se o resgate não for pago. A vítima enfrenta, simultaneamente, a indisponibilidade operacional (motivação para pagar pelo decryptador) e o risco reputacional e regulatório de um vazamento público (motivação adicional para pagar para suprimir os dados). O procedimento documentado aqui é baseado principalmente nos incidentes de 2023-2024 envolvendo a vulnerabilidade [[cve-2023-4966|CVE-2023-4966]] (Citrix Bleed), que permitiu aos afiliados do [[lockbit|LockBit]] comprometer dezenas de organizações em semanas ao roubar tokens de sessão NetScaler sem necessidade de senha ou MFA. O sucesso do grupo nessa campanha — [[lockbit-citrix-bleed-2023|LockBit Citrix Bleed 2023]] — ilustra a combinação de velocidade de exploração de vulnerabilidades críticas com o modelo RaaS que acelera a escala de operações. A [[operation-cronos|Operation Cronos]], conduzida pelo NCA britânico e Europol em fevereiro de 2024, derrubou temporariamente a infraestrutura do LockBit, mas afiliados já retomaram atividade sob outras marcas. O que diferencia o LockBit de grupos menos sofisticados é a **disciplina operacional dos afiliados** no período pré-ransom: semanas ou meses de movimento lateral silencioso, coleta de dados sensíveis e desativação progressiva de defesas antes de acionar qualquer cifragem. A detecção efetiva precisa acontecer nessas fases iniciais — após o deploy do ransomware, as opções de contenção são drasticamente limitadas. **Contexto Brasil/LATAM:** O Brasil é o país mais atacado por ransomware na América Latina, e o [[lockbit|LockBit]] figura consistentemente entre os grupos com maior número de vítimas brasileiras. Setores como manufatura, serviços jurídicos, saúde ([[sector-healthcare|Setor Saúde]]) e governo municipal e estadual são alvos frequentes — organizações com dados sensíveis mas com maturidade de segurança variável e backups frequentemente acessíveis a partir da rede principal. A combinação de exposição de NetScaler/Citrix sem patch, Active Directory mal segmentado e ausência de EDR em endpoints legados cria o ambiente propício para que afiliados do LockBit completem todo o ciclo de ataque em 24 a 72 horas após o acesso inicial. ## Attack Flow ```mermaid graph TB A[Citrix Bleed<br/>CVE-2023-4966] --> B[Cobalt Strike<br/>Movimento Lateral] B --> C[BloodHound + Mimikatz<br/>Domain Admin] C --> D{Exfiltração rclone<br/>Dupla Extorsão}:::critical D --> E[Deploy Ransomware<br/>via GPO / PsExec] classDef critical fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação — Acesso Inicial e Reconhecimento Furtivo Os afiliados do [[lockbit|LockBit]] utilizam scanners automatizados (Shodan, Censys, masscan) para identificar dispositivos Citrix NetScaler ADC e Gateway vulneráveis ao [[cve-2023-4966|CVE-2023-4966 (Citrix Bleed)]]. Essa vulnerabilidade permite extrair tokens de sessão válidos de usuários já autenticados na memória do dispositivo — incluindo usuários que completaram MFA — sem conhecer a senha. Com o token em mãos, o afiliado autentica diretamente na VPN corporativa como o usuário legítimo, sem acionar nenhuma verificação adicional. Uma vez dentro da rede, o foco inicial é o **reconhecimento silencioso**: enumeração de compartilhamentos de rede, identificação de servidores de backup e localização de dados sensíveis (RH, financeiro, jurídico, dados de clientes) usando ferramentas nativas como `net share`, `dir /s` e `icacls`. Esse estágio pode durar dias a semanas antes de qualquer ação visível. > **Event IDs relevantes:** NetScaler logs com `SessionToken extracted` ou conexões anômalas de IPs externos para VPN sem autenticação MFA; Windows `4624` (logon bem-sucedido) com `LogonType: 3` (rede) de conta com histórico de acesso apenas via VPN; `4776` (válidação de credenciais) em horários incomuns. ### 2. Execução — Escalada de Privilégios e Exfiltração Com foothold estabelecido, o afiliado instala um beacon Cobalt Strike ou Sliver e executa o reconhecimento profundo do Active Directory usando **BloodHound + SharpHound** para mapear o caminho mais curto até Domain Admin. As técnicas de escalada típicas incluem Kerberoasting (extração de tickets de serviço para cracking offline), Pass-the-Hash (reutilização de hashes NTLM capturados via Mimikatz) e abuso de delegação Kerberos. Com credenciais de Domain Admin, o afiliado inicia a **exfiltração de dados sensíveis via rclone**: a ferramenta legítima de sincronização de nuvem é usada para enviar gigabytes ou terabytes de dados para Mega.nz, Backblaze B2 ou um servidor SFTP controlado pelo grupo. A exfiltração precede a cifragem — é o que estabelece a segunda pressão da dupla extorsão. > **Event IDs relevantes:** `4769` (solicitação de ticket Kerberos — Kerberoasting), `4625` (falha de logon — múltiplas tentativas Pass-the-Hash), Sysmon `1` com `Image: \SharpHound.exe` ou assembly .NET incomum; Sysmon `3` com `rclone.exe` fazendo conexões de saída para `api.mega.co.nz` ou `s3.amazonaws.com`. ### 3. Pós-execução — Sabotagem Defensiva e Deploy do Ransomware Imediatamente antes do deploy do ransomware, o afiliado executa um **roteiro de sabotagem defensiva** sistemático: desabilita o Windows Defender e EDR instalado, deleta todos os Shadow Copies via `vssadmin` e `wmic`, para serviços de backup (Veeam, Backup Exec, SQL Server VSS Writer) e desativa qualquer mecanismo de recuperação de sistema. Só então o binário LockBit 3.0 (Black) é distribuído para todos os endpoints via GPO ou PsExec autenticado com credenciais de Domain Admin. A cifragem usa AES-256 para o conteúdo e RSA-2048 para proteger a chave AES (cujá chave privada fica apenas no servidor LockBit). Arquivos cifrados recebem extensão `.lckbts` e uma ransom note `LockBit_Ransomware.hta` é criada em cada diretório. A nota aponta para um portal de negociação na rede TOR com prazo de 72 a 96 horas antes da públicação dos dados no leak site. > **Event IDs relevantes:** `4688` com `CommandLine: vssadmin delete shadows /all`; `7036` (serviço parado — Veeam Agent, Windows Backup); `4657` (modificação de chave de Registro — Defender desabilitado: `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender`); EDR behavioral alert para alteração massiva de extensões de arquivo. ## Detecção ### Event IDs Críticos | Event ID / Log | Produto | Indicador | |---|---|---| | Sysmon 1 — `vssadmin delete shadows` | Windows / Sysmon | Deleção de Shadow Copies — alerta P1 imediato | | Sysmon 1 — `SharpHound.exe` ou assembly .NET suspeito | Windows / Sysmon | Reconhecimento de Active Directory | | Windows 4769 — múltiplos SPN em curto intervalo | Windows Security | Kerberoasting em andamento | | Sysmon 3 — `rclone.exe` conectando a `mega.co.nz` | Windows / Sysmon | Exfiltração de dados antes do ransom | | Windows 7036 — serviços de backup parados | Windows System | Sabotagem de mecanismos de recuperação | | EDR Behavioral — extensões alteradas em massa | EDR | Cifragem em andamento — contenção imediata | | NetScaler logs — token leak CVE-2023-4966 | Citrix ADC | Acesso inicial via Citrix Bleed | ### Sigma Rule — Deleção de Shadow Copies (Pré-Ransomware) ```yaml title: LockBit - Deleção de Shadow Copies via vssadmin ou wmic id: c9e2f4a3-7b1d-4e8c-9f3a-2d5b0c8e1f6a status: stable description: > Detecta tentativas de deletar Shadow Copies usando vssadmin ou wmic. Este é um dos indicadores mais confiáveis de ataque de ransomware iminente — qualquer execução deve ser tratada como alerta P1 e acionar resposta a incidente. Usado sistematicamente por LockBit, Cl0p, BlackCat e outros grupos RaaS. author: RunkIntel daté: 2026-03-24 references: - https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a logsource: category: process_creation product: windows detection: selection_vssadmin: Image|endswith: '\vssadmin.exe' CommandLine|contains: - 'delete shadows' - 'resize shadowstorage' selection_wmic: Image|endswith: '\wmic.exe' CommandLine|contains: - 'shadowcopy delete' - 'shadowcopy where' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'Get-WmiObject Win32_ShadowCopy' - 'Win32_ShadowCopy).Delete()' condition: 1 of selection_* falsepositives: - Scripts de manutenção legítimos de gerenciamento de storage (raramente justificável sem aprovação explícita) level: critical tags: - attack.impact - attack.t1490 - attack.t1486 ``` ## Mitigação | Controle | Ação Recomendada | Prioridade | |---|---|---| | Patch CVE-2023-4966 | Aplicar patch de outubro de 2023 em todos os NetScaler ADC e Gateway; sem patch, o dispositivo é vetor de acesso imediato | Crítica | | Backups imutáveis offline | Manter cópias de backup em storage isolado da rede principal (tape, cloud com MFA separado ou tenant isolado); o afiliado NÃO deve conseguir alcançar os backups a partir de credenciais de Domain Admin | Crítica | | Proteção de Shadow Copies | Configurar SIEM para alertar P1 imediatamente para qualquer execução de `vssadmin delete shadows`; considerar bloquear via AppLocker/WDAC para processos não autorizados | Crítica | | Tiered Admin Model | Separar credenciais de Domain Admin de credenciais de workstation; limitar quais contas podem usar PsExec e WMI remotamente | Alta | | EDR com Ransomware Protection | Habilitar detecção comportamental de cifragem em massa em todos os endpoints; testar a proteção com simulações controladas | Alta | | Monitoramento de rclone | Bloquear ou alertar para execução de `rclone.exe` em endpoints não autorizados; monitorar conexões de saída para Mega.nz e Backblaze | Alta | | Segmentação de AD | Limitar o raio de explosão: não permitir que credenciais de um segmento comprometam toda a floresta AD; usar PAW (Privileged Access Workstations) para admins | Média | | Monitoramento de Kerberoasting | Alertar para múltiplas solicitações de ticket `TGS_REQ` (Event 4769) com `TicketEncryptionType: 0x17` (RC4) em curto intervalo | Média | ## Referências - [[lockbit|LockBit Operators]] — grupo RaaS responsável, modelo de afiliados com 70/30 split - [[lockbit-citrix-bleed-2023|LockBit Citrix Bleed 2023]] — campanha específica que explorou CVE-2023-4966 em escala - [[operation-cronos|Operation Cronos]] — operação law enforcement que derrubou infraestrutura LockBit em fevereiro de 2024 - [[cve-2023-4966|CVE-2023-4966]] — Citrix Bleed — vulnerabilidade de roubo de token de sessão, vetor de acesso inicial - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] — técnica MITRE principal do estágio de impacto - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] — deleção de Shadow Copies e sabotagem de backups - [[t1567-002-exfiltration-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] — uso de rclone para exfiltrar via Mega.nz - [[Windows Admin Shares]] — movimento lateral via SMB com credenciais de domínio - [[_playbooks|Playbooks]] — ver playbook de resposta a ransomware para procedimento de contenção - [[_techniques|Índice de TTPs]] — visão geral de todas as técnicas documentadas --- *Fonte: [CISA Advisory AA23-325A — LockBit 3.0 Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a)* *Fonte: [Mandiant — LockBit Citrix Bleed Campaign](https://www.mandiant.com/resources/blog/lockbit-citrix-bleed)* *Fonte: [NCA — Operation Cronos: Disrupting LockBit](https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group)*