Analistas identificaram a aparição do LockBit 5.0, nova iteração de um dos frameworks de ransomware mais ativos, que introduz mecanismos criptográficos e capacidades anti‑análise que dificultam detecção e recuperação.
O que mudou agora
Conforme publicado pelo Cyber Security News, o LockBit 5.0 adota um conjunto moderno de algoritmos: ChaCha20‑Poly1305 para cifragem de arquivos, X25519 para troca de chave e BLAKE2b para hashing. A combinação, segundo o relatório, torna impossível recuperar arquivos criptografados apenas com informações locais do sistema vítima.
Mecanismos técnicos destacados
- Pré‑processamento: o malware apaga ficheiros temporários (por exemplo em AppData\Local\Temp) para acelerar o processo de cifragem.
- Desativação de serviços: o LockBit 5.0 encerra serviços relacionados a Volume Shadow Copy e desativa soluções de backup/segurança (Veeam, Backup Exec, serviços de atualização) usando hashes embutidos.
- Criptografia e fluxo de trabalho: o ransomware gera dois números aleatórios de 32 bytes a partir do tempo do sistema e informações de memória para derivar chaves, calcula segredos partilhados via curva elíptica e processa arquivos em blocos de 8 MB quando necessário, aplicando BLAKE2b e fluxo ChaCha20 combinado com operações XOR.
- Metadados: após cifrar, o malware anexa metadados (tamanhos, números aleatórios cifrados, valores de autenticação e chave pública da vítima), assegurando que apenas quem detenha a chave privada do atacante possa decriptar os arquivos.
Anti‑análise e evasão
O LockBit 5.0 emprega empacotamento avançado, ofuscação e flexibilidade de execução (funciona sem parâmetros específicos). Também encerra processos relacionados a recuperação de sistema para bloquear tentativas de restauração.
Alcance e contexto
O grupo LockBit já figurou como autor de uma fatia significativa das campanhas de ransomware globais em anos recentes, e o relatório salienta que a sofisticação técnica do 5.0 o posiciona como uma das variantes mais desafiadoras para resposta e recuperação.
Impacto operacional
Além do dano direto por cifragem, a técnica de interrupção de serviços de backup e a robustez criptográfica implicam que organizações afetadas enfrentarão janelas longas de indisponibilidade e complexidade elevada na tentativa de recuperação. O texto fonte não lista vítimas específicas ou pedidos de resgate públicos relacionados ao 5.0.
Recomendações
O relatório sublinha a necessidade de práticas consolidadas de proteção: manutenção de backups offline/inmutáveis, segregação de privilégios, detecção de comportamento de criptografia em massa e microsegmentação de serviços de backup. O artigo original não fornece um guia passo a passo; as recomendações acima são consistentes com controles indicados pelo cenário técnico apresentado.
Observação
As informações são baseadas no relatório do Cyber Security News, que por sua vez cita análises técnicas (ASEC). Para IoCs e regras de detecção detalhadas, consulte os relatórios técnicos originais citados pelo veículo.