O LockBit voltou ao jogo — e com um conjunto mais polido de ferramentas. Após um hiato desde fevereiro, quando investigações policiais derrubaram parte da sua infraestrutura, o grupo reapareceu usando o LockBit 5.0, agora com capacidade multiplataforma: Windows, Linux e ESXi (a plataforma de virtualização da VMware que pode atingir dezenas de máquinas pela mesma investida). O timing do retorno não é aleatório: coincide com o sexto aniversário do grupo.
O que mudou no LockBit 5.0
A nova versão não é só um remendo: é uma evolução do código antigo. Pesquisas da Trend Micro mostram que o LockBit 5.0 compartilha blocos de código com a versão 4.0 — mesmos algoritmos de hash e rotinas de API — mas com melhorias claras em velocidade, furtividade e resiliência. Entre as características observadas estão:
-
Extensões de arquivo aleatórias com 16 caracteres, que atrapalham qualquer tentativa de recuperação automática;
-
Cheque de localidade para evitar infectar sistemas configurados em russo (provavelmente para reduzir risco local);
-
Remoção de logs após a criptografia, dificultando auditoria e resposta forense;
-
Capacidade de desativar antivírus e serviços de segurança, renomear arquivos com códigos aleatórios e apagar rastros.
Em resumo: é o mesmo núcleo, só que mais rápido e mais difícil de detectar.
Como o LockBit 5.0 opera no Windows e Linux
A versão para Windows traz algo novo: ao rodar com o parâmetro -h ela exibe uma ajuda — uma interface de opções que permite ao operador escolher pastas a criptografar/ignorar, modos “invisíveis”, filtros de arquivos e exemplos de uso. É quase uma UI de linha de comando pensada para afiliados ou operadores que querem controle fino sobre o ataque.
Detalhes técnicos relevantes:
-
O ransomware gera uma nota de resgate e direciona a vítima a um site de vazamento com área de negociação estilo “Chat with Support”;
-
A criptografia renomeia arquivos com extensões aleatórias de 16 caracteres (sem marcadores óbvios), mas preserva o tamanho original do arquivo no final do arquivo criptografado;
-
O binário vem fortemente ofuscado e empacotado — durante a execução, ele descriptografa um pré-instalador do Windows diretamente na memória e o carrega via DLL reflection, método que evita gravar o executável no disco e complica análise estática;
-
O malware mantém logs detalhados de sua ação (arquivos afetados, pastas ignoradas), sugerindo que foi desenhado para uso por afiliados que precisam de feedback preciso sobre o ataque;
-
Ao fim, gera um resumo com total de arquivos e espaço ocupado.
Essas escolhas técnicas mostram um projeto pensado tanto para eficácia quanto para operador-friendly: controle, feedback e ocultação.
Por que a variante para ESXi é especialmente perigosa
A variante para ESXi é a que maiores danos pode causar. ESXi roda máquinas virtuais; comprometer esse nível significa potencialmente derrubar dezenas — senão centenas — de servidores e serviços de uma só vez. A variante ESXi mantém os comandos das versões Windows/Linux, mas inclui parâmetros específicos para arquivos de configuração e pastas de VMs, permitindo ao atacante mirar diretamente na infraestrutura de virtualização.
Ataques a ESXi tendem a maximizar impacto e tempo de inatividade: é a forma mais eficiente de paralisar operações críticas e pressionar pela negociação do resgate.
