Uma nova versão do ransomware LockBit, uma das famílias mais ativas do mundo, está em circulação com capacidades ampliadas e técnicas de evasão sofisticadas. A LockBit 5.0, lançada em setembro de 2025, representa uma atualização significativa, suportando agora os sistemas operacionais Windows, Linux e a plataforma de virtualização ESXi, tornando-a uma ameaça versátil para ambientes de infraestrutura diversificados.
O que mudou agora
Desde dezembro de 2025, o site de vazamento de dados do grupo já listou 60 vítimas, com empresas privadas representando aproximadamente 67% dos casos. O malware opera sob um modelo ransomware-as-a-service (RaaS) e emprega um esquema de dupla extorsão, criptografando arquivos e roubando dados simultaneamente para pressionar as vítimas a pagar resgates. Um ponto de preocupação adicional é sua capacidade anunciada de funcionar em todas as versões do Proxmox, uma plataforma de virtualização de código aberto cada vez mais adotada por empresas.
Mecanismos avançados de evasão e persistência
Analistas da Acronis identificaram que a variante para Windows da LockBit 5.0 emprega as técnicas anti-análise mais sofisticadas entre todas as versões. Elas incluem:
- Empacotamento e ofuscação: Uso de ofuscação Mixed Boolean-Arithmetic e hashing dependente de endereço de retorno para ocultar funcionalidades.
- Process Hollowing: O malware se injeta no utilitário legítimo do Windows, defrag.exe, para executar sob o disfarce de um processo de sistema confiável.
- Desativação de logs: Após a criptografia, o ransomware aplica um patch na função EtwEventWrite para desativar o Event Tracing for Windows (ETW) e, em seguida, limpa todos os logs de eventos usando EvtClearLog, eliminando evidências forenses.
- Verificações geográficas: O malware verifica as configurações de idioma do sistema para evitar infectar máquinas em países pós-soviéticos, uma característica comum em famílias de malware de origem russa.
As versões para Linux e ESXi, embora não empacotadas, criptografam quase todas as suas strings para evitar detecção. Todas as três versões utilizam algoritmos de criptografia idênticos, combinando XChaCha20 para criptografia simétrica com Curve25519 para criptografia assimétrica, e criam múltiplas threads de criptografia baseadas no número de processadores do sistema.
Impacto e alcance
O malware tem como alvo principal o setor empresarial dos EUA, mas também afeta manufatura, saúde, educação, serviços financeiros e agências governamentais. A análise de infraestrutura revelou que o site de vazamento de dados do LockBit estava hospedado em um endereço IP previamente associado a operações do malware SmokeLoader, sugerindo possível compartilhamento de infraestrutura ou cooperação entre grupos criminosos.
Recomendações de defesa
Organizações devem implementar controles de segurança em camadas, incluindo:
- Backups regulares e offline.
- Segmentação de rede.
- Soluções de detecção e resposta de endpoint (EDR).li>
- Gerenciamento de patches em tempo hábil.
- Monitoramento para comportamento suspeito de processos, atividade inesperada de criptografia de arquivos e tentativas de desativar mecanismos de logging de segurança.
O treinamento de conscientização em segurança para funcionários continua sendo crítico para prevenir o acesso inicial, frequentemente obtido através de campanhas de phishing.