O ransomware LockBit é uma das ameaças cibernéticas mais notórias da atualidade, tendo evoluído para se tornar um dos grupos mais sofisticados e perigosos do cenário mundial. Com um modelo de Ransomware-as-a-Service (RaaS), o LockBit permite que afiliados executem ataques de forma eficaz, visando principalmente grandes empresas e instituições. 

O LockBit é uma variante de ransomware detectada pela primeira vez em setembro de 2019, rapidamente ganhando notoriedade por sua capacidade de criptografar dados com eficiência e exigir resgates exorbitantes. Sua terceira versão, LockBit 3.0, introduziu aprimoramentos na infraestrutura do ransomware, tornando os ataques mais rápidos, difíceis de detectar e ainda mais devastadores para as vítimas.

Diferente de outros grupos de ransomware, o LockBit foca em empresas de grande porte, explorando vulnerabilidades em sistemas de segurança e implantando criptografia de dados de maneira quase irreversível, caso o resgate não seja pago.

Como o Grupo LockBit Atua?

O grupo LockBit opera com base no modelo Ransomware-as-a-Service (RaaS), onde desenvolvedores fornecem o software malicioso a afiliados, que são responsáveis por realizar os ataques. Esses afiliados recebem uma porcentagem significativa do resgate, enquanto o restante é entregue aos desenvolvedores do ransomware.

Algumas das principais estratégias usadas pelos operadores incluem:

  • Exploração de vulnerabilidades: Os atacantes utilizam vulnerabilidades conhecidas e mal configuradas em sistemas de TI, como servidores sem patch ou firewalls mal gerenciados.
  • Phishing direcionado: O grupo usa táticas de engenharia social e spear-phishing para enganar os funcionários a baixarem malware ou fornecer credenciais de acesso.
  • Exfiltração de dados: Antes de criptografar os arquivos, o grupo LockBit exfiltra grandes volumes de dados, o que lhes dá poder de negociação adicional, já que podem ameaçar vazar informações confidenciais.

Um diferencial do LockBit 3.0 é o seu programa de bug bounty—uma prática incomum em grupos de ransomware—onde oferecem recompensas para quem encontrar falhas em seu próprio software, aumentando a robustez de suas operações.

Dados Recente sobre o Impacto Global

De acordo com o Relatório de Ransomware 2024 da Cybersecurity Ventures, o ransomware como um todo deverá causar danos globais que somam aproximadamente 265 bilhões de dólares até 2031, com o LockBit sendo responsável por uma parcela significativa dos ataques recentes. Em 2023, o LockBit esteve envolvido em mais de 40% de todos os incidentes de ransomware reportados globalmente.

A unidade de inteligência cibernética da Chainalysis relatou que, em 2022, o LockBit acumulou cerca de 91 milhões de dólares em pagamentos de resgate, com o pagamento médio de resgate sendo de $1,5 milhão por vítima. Além disso, um estudo da Sophos mostrou que, em média, os ataques do LockBit resultam em 21 dias de tempo de inatividade para as empresas afetadas, causando enormes prejuízos operacionais.

Evolução do LockBit Ransomware

O ransomware LockBit é amplamente conhecido no mundo da cibersegurança por sua rápida evolução e pelas várias versões que introduziram melhorias e táticas mais sofisticadas. Desde sua primeira aparição em 2019, o LockBit passou por uma série de atualizações significativas, com cada nova versão tornando o ransomware mais potente, eficiente e difícil de combater. 

LockBit 1.0: O Início (2019)

A versão original do LockBit, lançada em setembro de 2019, foi uma das primeiras a usar a técnica de “auto-propagação”, onde o ransomware se move lateralmente dentro da rede, infectando rapidamente outros dispositivos e servidores conectados. Algumas características marcantes do LockBit 1.0 incluem:

  • Auto-propagação via SMB: O ransomware explora vulnerabilidades no protocolo Server Message Block (SMB) para se mover lateralmente através de uma rede.
  • Criptografia rápida: Desde sua primeira versão, o LockBit destacou-se por sua capacidade de criptografar dados rapidamente, minimizando a janela de resposta das equipes de segurança.
  • Foco em grandes empresas: A primeira versão do LockBit foi direcionada a grandes organizações, aproveitando-se de vulnerabilidades em redes corporativas.

Essa primeira versão já indicava a seriedade do grupo, com ataques bem-sucedidos a grandes corporações, mas não oferecia recursos mais avançados como os introduzidos nas versões posteriores.

LockBit 2.0: Refinamento e Ameaça Dupla (2021)

Em junho de 2021, o grupo lançou o LockBit 2.0, que trouxe uma série de aprimoramentos e tornou o ransomware uma das ameaças mais dominantes do cenário mundial. Entre as melhorias significativas dessa versão, destacam-se:

  • Modelo de Ransomware-as-a-Service (RaaS): O LockBit 2.0 formalizou seu modelo de RaaS, permitindo que operadores afiliados usassem o ransomware em troca de uma porcentagem dos resgates. Isso expandiu a base de operadores e aumentou a frequência de ataques.
  • Dupla extorsão: Introduziu a técnica de dupla extorsão, na qual os atacantes não apenas criptografam os dados, mas também exfiltram informações confidenciais. A ameaça de divulgar esses dados cria uma pressão adicional para que a vítima pague o resgate.
  • Velocidade de criptografia otimizada: O LockBit 2.0 se tornou um dos ransomwares mais rápidos, capaz de criptografar redes inteiras em minutos, reduzindo drasticamente o tempo de resposta das equipes de TI.
  • Interface de negociação aprimorada: A versão 2.0 também melhorou o processo de negociação entre as vítimas e os operadores do ransomware, com sites de pagamento dedicados e comunicação direta.

Os aprimoramentos do LockBit 2.0 tornaram essa versão especialmente eficaz contra empresas que não estavam preparadas para lidar com a exfiltração de dados, já que a perda de informações críticas ou confidenciais poderia resultar em danos irreparáveis à reputação e operações.

LockBit 3.0 (LockBit Black): O Avanço Tecnológico (2022)

Lançado no início de 2022, o LockBit 3.0, também conhecido como LockBit Black, é a versão mais recente e a mais avançada deste ransomware. Com melhorias significativas, o LockBit 3.0 não só continuou com as táticas de dupla extorsão e RaaS, mas também inovou em diversas áreas, como a incorporação de programas de recompensa (bug bounty) para quem encontrar falhas no ransomware. Principais novidades do LockBit 3.0:

  • Bug Bounty Program: Pela primeira vez na história do ransomware, o LockBit 3.0 introduziu um programa de bug bounty, onde os hackers oferecem recompensas a quem encontrar vulnerabilidades em seu próprio software, melhorando a eficácia e segurança da operação.
  • Criptografia seletiva: Diferente das versões anteriores, o LockBit 3.0 possui a capacidade de criptografar seletivamente arquivos críticos, acelerando o processo e priorizando dados mais valiosos.
  • Proteção anti-análise: Foram introduzidas técnicas avançadas de evasão para evitar a detecção por soluções de segurança, tornando a análise do ransomware mais difícil para especialistas em cibersegurança.
  • Velocidade aprimorada: A criptografia e a movimentação lateral dentro das redes se tornaram ainda mais rápidas e eficientes, visando maximizar o impacto antes que qualquer resposta de mitigação seja possível.
  • Personalização do Resgate: O LockBit 3.0 permite que os operadores personalizem as demandas de resgate, tornando o processo de extorsão mais específico para cada vítima, o que aumenta a eficácia nas negociações.

Além disso, o LockBit 3.0 reforçou suas medidas de anonimato, utilizando criptografia sofisticada para se proteger de rastreamento por autoridades de segurança. Esse novo nível de sofisticação consolidou o LockBit como um dos ransomwares mais perigosos em circulação.

Comparativo entre as Versões

CaracterísticasLockBit 1.0LockBit 2.0LockBit 3.0 (Black)
Ano de Lançamento201920212022
Modelo RaaSNãoSimSim 
CriptografiaRápida Rápida e mais eficiente Seletiva e ainda mais rápida 
Dupla ExtorsãoNãoSim Sim 
Bug Bounty ProgramNão Não Sim
Proteção Anti-AnálisebásicaAprimoradaAvançada 
Movimentação LateralVia SMBVia SMB e RDPMais eficiente e invisível
Interface de NegociaçãoBásica AprimoradaInterface mais avançada 

O ransomware LockBit continua a evoluir a um ritmo alarmante, com cada versão trazendo melhorias que tornam os ataques mais rápidos, mais difíceis de prevenir e mais devastadores. A partir do LockBit 1.0, o grupo rapidamente se tornou uma força dominante com o LockBit 2.0, adotando a dupla extorsão e um modelo de RaaS que atraiu inúmeros afiliados. Com o LockBit 3.0 (LockBit Black), eles redefiniram a sofisticação no ransomware, introduzindo criptografia seletiva, programas de bug bounty e proteções aprimoradas contra a detecção.

Proteger-se contra o LockBit e suas variantes exige medidas de segurança cibernética robustas, como backups regulares, segmentação de rede, detecção de intrusões e a criação de planos de resposta a incidentes. Manter-se atualizado com as últimas táticas do grupo LockBit é crucial para mitigar os danos e minimizar os riscos. Se você foi afetado por um ataque do ransomware Lockbit conte com nossas soluções para descriptografar arquivos ransomware, entre em contato com nossos especialistas agora mesmo.

Perguntas frequentes sobre a recuperação ransomware

Todos os dias, os ataques de ransomware ficam
cada vez melhores. Após uma tentativa bem-sucedida de
tentativa de ataque bem-sucedida, o ransomware rapidamente
mapeia rapidamente os arquivos mais importantes do usuário para
iniciar a criptografia. Arquivos do Microsoft Office,
bancos de dados, PDFs e design estão entre
seus principais alvos.

Sim, mas o ransomware foi projetado para não ser identificado pelo firewall, de modo que possa se infiltrar no sistema interno da empresa e desativar as defesas, mover-se lateralmente e alterar as rotinas de backup.

Obtenha ajuda especializada para descriptografar arquivos ‘

O usuário pode identificar a ação do ransomware, mesmo que o sistema não consiga identificá-lo. O malware usa os próprios recursos do sistema para o processo de criptografia e pode ser lento para responder às solicitações do usuário.

As extensões dos arquivos são alteradas, é adicionada uma extensão específica que menciona o grupo de atacantes. Fique atento a esses sinais.

Sim, é possível. Mas há o risco de que alguns arquivos sejam corrompidos. Depois de identificar a ação do ransomware no sistema, desconecte o dispositivo da Internet, pois isso interromperá a comunicação do grupo com o malware; alguns ransomwares podem continuar a criptografia mesmo sem acesso à Internet.

Você também pode iniciar contramedidas antivírus para isolar o malware e excluí-lo, se o antivírus não tiver sido desativado pelo ransomware.

Interromper a criptografia é extremamente difícil, pois o ransomware foi projetado para desativar qualquer contramedida do sistema ou do usuário, diminuindo as chances de o processo ser interrompido.

Obtenha ajuda especializada para descriptografar arquivos ‘

Os ataques geralmente ocorrem quando há uma queda no fluxo de usuários no sistema, o que acontece nos fins de semana e feriados, durante as primeiras horas da manhã, tornando essas datas adequadas para ataques.

Obtenha ajuda especializada para descriptografar arquivos ‘

Há vários algoritmos de criptografia, mas os mais usados são o RSA [Rivest-Shamir-Adleman]-2048 e o AES [Advanced Encryption Standard].

Obtenha ajuda especializada para descriptografar arquivos ‘

Antes de tudo, mantenha a calma, pois os criminosos contam com o desespero da vítima. Siga estas dicas:

  • Isole o dispositivo afetado – O ransomware pode se mover lateralmente pelo sistema e atingir outros dispositivos, por isso é importante isolar seu campo de ação.
  • Verifique o backup – se o backup não tiver sido atingido pelo ransomware, os dados poderão ser restaurados rapidamente sem maiores problemas.
  • Evite contato com os criminosos – Os criminosos usam táticas psicológicas para extorquir o máximo de dinheiro possível no menor tempo possível; o fato de a vítima estar emocionalmente envolvida com o incidente faz dela um alvo fácil.
  • Não negocie com os criminosos – O grupo não dá nenhuma garantia de que a chave de descriptografia será liberada depois que o resgate for pago, você terá que acreditar apenas na palavra dos criminosos. Além disso, o pagamento financiará o grupo para novos ataques.
  • Entre em contato com as autoridades governamentais – O governo tem agências especializadas no combate a ataques cibernéticos, que investigarão o caso.
  • Entre em contato com uma empresa especializada em descriptografar arquivos de ransomware – o RansomHunter é capaz de descriptografar arquivos de ransomware sem a necessidade da chave de descriptografia; suas soluções são uma opção ao pagamento do resgate.

Obtenha ajuda especializada para descriptografar arquivos ‘

Após o primeiro contato e envio dos dados, faremos um diagnóstico dos arquivos para verificar a extensão dos danos causados pelo ransomware, com isso podemos projetar a duração do processo e fornecer o orçamento.

Após o cliente aprovar o orçamento, iniciamos o processo de descriptografia, para isso contamos com um software exclusivo que pode, com a ajuda de nossos especialistas, reconstruir os dados.

Após o término do processo, faremos uma dupla checagem para que o cliente possa verificar a integridade dos arquivos recuperados.

O pagamento só é feito após a entrega dos arquivos e a validação dos mesmos pelo cliente.

Obter ajuda especializada para descriptografar arquivos ‘

Estamos Sempre On-line

Preencha o formulário e entraremos em contato com você para iniciar a descriptografia de seus arquivos.
Sempre à sua disposição, 24 horas por dia, 7 dias por semana

Últimos insights de nossos especialistas