TLD

O LockBit segue consolidado como um dos grupos mais profissionalizados do ecossistema de ransomware, e a variante 5.0 reforça esse posicionamento. A nova versão mantém o modelo de Ransomware as a Service (RaaS) e expande sua atuação para três alvos principais: Windows, Linux e ambientes ESXi, sendo este último o ponto mais sensível para operações corporativas.

A capacidade de comprometer hosts ESXi transforma um incidente pontual em um evento de larga escala. Ao atingir o hipervisor, o impacto se multiplica instantaneamente para todas as máquinas virtuais hospedadas, elevando a superfície de paralisação e dificultando estratégias de recuperação quando não há snapshots íntegros ou backups offline.

Apesar de reutilizar trechos do código da versão 4.0, o LockBit 5.0 traz aprimoramentos consideráveis, tanto na eficiência dos ataques quanto na evasão, afetando de formas diferentes Windows, Linux e ambientes ESXi:

Windows
O executável aplica forte ofuscação, resolve funções dinamicamente e tenta desativar mecanismos de telemetria como o ETW. Também encerra serviços e processos de segurança para viabilizar a criptografia. Ao final, renomeia arquivos com extensões aleatórias de 16 caracteres, dificultando respostas manuais e automatizadas.

Linux
A versão para Linux segue estável e bem estruturada, com parâmetros de linha de comando que permitem aos afiliados definir diretórios, excluir caminhos específicos e registrar ações. É pensada para operação direta e orientada a afiliados menos experientes.

ESXi
Aqui reside o maior risco. Uma vez no host, a criptografia afeta todas as VMs associadas. O impacto é imediato, ampliado e crítico, especialmente em ambientes de alta disponibilidade.

O LockBit 5.0 mantém um conjunto robusto de TTPs, explorando desde acessos iniciais via phishing, brute force e vulnerabilidades conhecidas até execuções fileless com elevação silenciosa de privilégios. Seu movimento lateral é modular e imprevisível, variando entre PsExec, WMI e sessões RDP fora do padrão. A evasão também evoluiu, com unhooking avançado, interrupção de serviços de segurança e deleção de shadow copies. O impacto final combina criptografia acelerada, renomeações em massa e exfiltração estruturada por ferramentas como StealBit e Rclone.
A mitigação e resposta ao LockBit 5.0 exige reforçar acessos externos com MFA em RDP, VPN e consoles administrativas, além de reduzir a exposição de serviços críticos e manter atualizações em dia. É fundamental ampliar a visibilidade sobre scripts monitorando PowerShell, ScriptBlock e LOLBins, e tratar qualquer interação suspeita com o LSASS como alerta imediato.

O acompanhamento do movimento lateral deve incluir detecção de PsExec, WMI e sessões RDP fora do horário comercial, enquanto ambientes Linux e ESXi precisam de proteção adicional por meio do isolamento de hosts, revisão de credenciais e monitoramento de varreduras e manipulações de diretórios. Também é crucial identificar sinais de evasão, como interrupção de agentes de segurança, deleção de shadow copies e limpeza de logs. Por fim, garantir backups resiliente, imutáveis, isolados, testados e, no caso de ESXi, com snapshots confiáveis e restauração rápida é essencial para reduzir o impacto operacional de um ataque.