O grupo de cibercriminosos LockBit está ativo novamente. Fora das atividades desde fevereiro, quando foi alvo de investigações policiais de larga escala que desmantelou partes de sua operação, o grupo agora ataca Windows, Linux e ESXi – um sistema usado para controlar vários computadores simultaneamente. O retorno das atividades coincide com o sexto aniversário do LockBit.
Conhecidos pelos ataques ransomware, uma espécie de sequestro virtual de dados, eles agora atacam via LockBit 5.0 com foco em mais de um sistema operacional. A nova modalidade se relaciona a um objetivo antigo do grupo, de garantir ataques multiplataforma.
Descobertas pela empresa de cibersegurança Trend Micro, as novas versões têm comportamentos que se repetem entre elas. Extensões de arquivos aleatórias com 16 caracteres, evitar sistemas configurados em russo por meio de checagens de geolocalização e apagar logs de eventos após a criptografia são algumas das características.
O LockBit 5.0 também compartilha características de código com a sua versão 4.0, incluindo algoritmos de hash idênticos e métodos de resolução de APIs. Ou seja, se trata de uma evolução do código original, e não de uma imitação. No entanto, essa versão é mais rápida, mais furtiva e mais difícil de detectar que as anteriores.
Ele consegue apagar rastros, desligar antivírus e serviços de segurança e ainda muda os nomes dos arquivos para códigos aleatórios, dificultando a recuperação. Também evita infectar sistemas configurados em russo, mostrando que o grupo, provavelmente da região, continua evitando problemas locais.
LockBit 5.0 no Windows e Linux
A versão para Windows do LockBit 5.0 usa o parâmetro -h para exibir informações de ajuda. Isso significa que, quando alguém executa o ransomware com -h, ele não começa a atacar — ele apenas mostra as opções que o atacante pode usar.
A partir disso, é possível escolher, por exemplo, quais pastas criptografar, quais ignorar, modos de operação invisíveis, filtros de arquivos e exemplos de uso. É basicamente uma versão com uma interface de usuário mais organizada, algo inédito nas edições anteriores.
Ao ser executado, o ransomware gera a nota de resgate e manda a vítima para um site de vazamento com área de negociação tipo “Chat with Support”. A criptografia renomeia os arquivos com extensões aleatórias de 16 caracteres, o que complica qualquer tentativa de recuperação; ao contrário de outros ransomwares, ele não deixa marcadores óbvios nos arquivos, mas guarda o tamanho original do arquivo no final do arquivo criptografado.
O binário vem fortemente ofuscado e empacotado: na prática, o que aparece no disco não é o código real — durante a execução ele descriptografa um pré-instalador do Windows direto na memória e o carrega por DLL reflection, um método que evita escrever o executável no disco e torna a análise estática bem mais difícil.
A versão Linux faz tudo que a do Windows faz. Ela tem linha de comando parecida, dá muita flexibilidade e visibilidade para o atacante.
A versão mostra logs detalhados do que está fazendo, quais arquivos criptografou e quais pastas deixou de lado. Isso indica que o malware pode ser usado em ambiente de teste ou por afiliados que querem feedback preciso do ataque. No fim, ele gera um resumo com o total de arquivos afetados e o tamanho ocupado, e também renomeia os arquivos com extensões aleatórias de 16 caracteres.
Versão para ESXi pode afetar dezenas de computadores
A versão que realmente preocupa é a para ESXi – um software que cria e roda versões virtuais de servidores. Basicamente, esse sistema permite que vários computadores sejam acessados de forma remota e simultânea. Isso significa que um ataque à uma estrutura dessa pode comprometer uma companhia inteira.
A variante para ESXi mantem os mesmos comandos das versões Windows e Linux, mas inclui parâmetros voltados a arquivos de configuração e pastas de VMs. Em resumo, o grupo está mirando onde causa mais estrago – atacar a infraestrutura de virtualização é a forma mais eficiente de paralisar operações e maximizar o impacto nos negócios.
Para continuar acompanhando a atividade do grupo cibercriminoso, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.