O grupo de cibercriminosos LockBit está de volta, após um período de inatividade iniciado em fevereiro, quando enfrentou investigações policiais de grande escala. O grupo agora direciona seus ataques a sistemas Windows, Linux e ESXi, este último utilizado para o gerenciamento simultâneo de múltiplos computadores. O retorno da organização coincide com seu sexto aniversário.
Especializado em ataques ransomware, que consistem em sequestrar dados virtualmente, o LockBit agora opera através do LockBit 5.0, com foco em múltiplos sistemas operacionais. Essa nova abordagem reflete um objetivo antigo do grupo de realizar ataques em diversas plataformas.
As novas versões, descobertas por uma empresa de cibersegurança, exibem padrões de comportamento consistentes. Entre eles, o uso de extensões de arquivos aleatórias com 16 caracteres, a prevenção de ataques a sistemas configurados em russo através de verificações de geolocalização e a eliminação de logs de eventos após a criptografia.
O LockBit 5.0 também apresenta similaridades de código com a versão 4.0, incluindo algoritmos de hash idênticos e métodos de resolução de APIs, indicando uma evolução do código original em vez de uma simples imitação. No entanto, esta versão se mostra mais rápida, furtiva e difícil de detectar do que as anteriores.
A nova versão consegue apagar rastros, desativar antivírus e serviços de segurança, além de renomear arquivos para códigos aleatórios, dificultando a recuperação. A ação de evitar a infecção de sistemas configurados em russo sugere que o grupo busca evitar problemas em sua região de origem.
A versão para Windows do LockBit 5.0 utiliza o parâmetro “-h” para exibir informações de ajuda. Ao ser executado com este parâmetro, o ransomware não inicia o ataque, mas exibe as opções disponíveis para o atacante.
A partir disso, é possível selecionar pastas para criptografar ou ignorar, definir modos de operação invisíveis, aplicar filtros de arquivos e visualizar exemplos de uso. Esta versão oferece uma interface de usuário mais organizada em comparação com as edições anteriores.
Após a execução, o ransomware gera a nota de resgate e direciona a vítima para um de vazamento com uma área de negociação. A criptografia renomeia os arquivos com extensões aleatórias de 16 caracteres, complicando as tentativas de recuperação. Ao contrário de outros ransomwares, ele não deixa marcadores óbvios nos arquivos, mas guarda o tamanho original do arquivo criptografado.
A versão Linux replica as funcionalidades da versão Windows, oferecendo flexibilidade e visibilidade ao atacante. Ela fornece logs detalhados das ações realizadas, indicando que pode ser utilizada em ambientes de teste ou por afiliados que buscam feedback preciso sobre o ataque. Ao final, gera um resumo com o número total de arquivos afetados e o tamanho ocupado, renomeando os arquivos com extensões aleatórias de 16 caracteres.
A versão para ESXi, que permite o acesso remoto e simultâneo a diversos computadores, é a mais preocupante, pois um ataque a essa estrutura pode comprometer uma empresa inteira.
A variante para ESXi mantém os mesmos comandos das versões Windows e Linux, mas inclui parâmetros voltados a arquivos de configuração e pastas de máquinas virtuais (VMs). O grupo parece estar concentrando seus esforços em causar o maior impacto possível, atacando a infraestrutura de virtualização para paralisar operações e maximizar o dano aos negócios.
