LockBit 5.0: a evolução mais agressiva do ransomware moderno

DANRESA
Soluções em Cibersegurança
Artigos & Posts
Fabricantes
Categorias Principais
- Ameaça CibernéticaAmeaça Cibernética: Protegendo sua Empresa contra Riscos Online Introdução No mundo empresarial altamente conectado de hoje, a segurança cibernética é uma preocupação crítica. Com o aumento das ameaças digitais e o potencial impacto devastador dos ataques cibernéticos, é essencial que as empresas estejam preparadas para proteger seus ativos digitais. Neste artigo, abordaremos a ameaça cibernética, suas consequências e forneceremos orientações valiosas para fortalecer a segurança cibernética em sua organização. Ameaça Cibernética: O que é e por que sua Empresa deve se Preocupar? A ameaça cibernética envolve ações maliciosas visando sistemas de computadores, redes e informações digitais de uma empresa. Esses ataques podem variar desde roubo de dados confidenciais e informações proprietárias até a interrupção de operações comerciais vitais. É crucial que as empresas levem a sério a ameaça cibernética, pois as consequências podem ser significativas: Roubo de propriedade intelectual e dados confidenciais pode resultar em prejuízos financeiros consideráveis e perda de vantagem competitiva. Ataques de ransomware podem bloquear o acesso a informações essenciais, causando interrupção dos negócios e demandas financeiras para a recuperação dos dados. A violação de dados pode resultar em penalidades legais, danos à reputação e perda de confiança dos clientes. Como Proteger sua Empresa contra a Ameaça…
- CibersegurançaA Importância da Cibersegurança Corporativa para Proteger seus Dados Empresariais
- Conscientização CibersegurançaNo mundo cada vez mais digitalizado em que vivemos, a conscientização em cibersegurança é essencial para proteger-se contra ameaças virtuais. Com o avanço da tecnologia, surgem novas oportunidades, mas também novos desafios. A medida que nos tornamos mais conectados, os cibercriminosos se tornam mais sofisticados, tornando-se necessário adotar medidas proativas para salvaguardar nossas informações pessoais e profissionais. Neste artigo, exploraremos a importância da conscientização em cibersegurança e forneceremos dicas valiosas para proteger-se no mundo digital. Desde a criação de senhas fortes até a navegação segura na Internet, você encontrará informações práticas para fortalecer sua postura de segurança online. Conscientização em Cibersegurança A conscientização em cibersegurança é o processo de educar a si mesmo e aos outros sobre os riscos associados ao uso da tecnologia e como mitigá-los. É fundamental entender que a cibersegurança é responsabilidade de todos, independentemente de sua experiência técnica. Afinal, a segurança cibernética não é apenas uma preocupação para as grandes empresas, mas também para indivíduos comuns como você e eu. Por que a conscientização em cibersegurança é importante? A conscientização em cibersegurança é importante porque vivemos em um mundo onde nossas informações pessoais e financeiras são frequentemente armazenadas, transmitidas e acessadas digitalmente. Hackers e criminosos cibernéticos…
- DANRESA
- Eventos & Webinars
- Gestão
- Home Office
- Inteligência Artificial
- Notícias
- Vídeos de Webinars
Setores
- Educação
- Energia
- Financeiro
- Indústria
- LogísticaDescubra a importância da cibersegurança no setor de logística. Veja como empresas logísticas estão se protegendo contra ameaças cibernéticas para garantir entregas eficientes, segurança de informações e a integridade de suas operações.
- Saúde
- TransportesExplore a vital importância da cibersegurança no setor de transportes. Descubra como empresas e organizações estão fortalecendo suas defesas contra ameaças cibernéticas para assegurar viagens seguras e a integridade dos sistemas de transporte.
- Varejo

O LockBit 5.0 representa hoje a evolução mais perigosa do ransomware ativo no cenário global. Detectado pela primeira vez, nessa nova estrutura, em setembro de 2025, ele combina velocidade, evasão e alcance multiplataforma, atingindo simultaneamente sistemas Windows, Linux e VMware ESXi. O que o torna uma ameaça capaz de paralisar completamente operações em poucos minutos.

Neste artigo, a Danresa apresenta um alerta de nível crítico sobre a campanha ativa do LockBit 5.0, reunindo análises técnicas e estratégicas do nosso SOC e equipe de Threat Intelligence.

O objetivo é orientar a sua empresa, gestores e equipes de TI sobre os riscos imediatos e as ações preventivas indispensáveis para mitigar essa ameaça.

Contexto e origem dessa ameaça resiliente

O LockBit surgiu em 2019 e rapidamente se consolidou como uma das famílias de ransomware mais agressivas do mundo. Sua estrutura em Ransomware-as-a-Service (RaaS), em que o grupo central fornece a infraestrutura e afiliados executam os ataques, ampliou seu alcance exponencialmente.

A arquitetura do malware utiliza técnicas avançadas para evadir a detecção por softwares de segurança tradicionais, agindo de forma extremamente rápida para maximizar o dano antes de qualquer reação.

Mesmo após a Operação Cronos, em 2024, quando forças de segurança internacionais desmantelaram parte de sua infraestrutura, o grupo demonstrou resiliência. Com isso, o resultado é o LockBit 5.0, uma evolução ainda mais técnica, agressiva e estratégica:

Código reescrito para maior velocidade e evasão.
Expansão para ambientes Linux e ESXi.
Automação aprimorada de propagação lateral e criptografia.
Retomada do modelo de dupla extorsão, agora com novos mecanismos de exfiltração.

Anatomia do LockBit 5.0: como ele invade, se propaga e destrói as vítimas

As investigações conduzidas pelo time de Threat Intelligence da Danresa mostram que o LockBit 5.0 segue uma cadeia de ataque bem estruturada, com alta automação e modularidade.

```
 Acesso inicial: a porta de entrada
```

Exploração de vulnerabilidades (CVEs) em appliances de borda (como Fortinet, Citrix e SonicWall).
Credenciais comprometidas obtidas na dark web ou por phishing.
Campanhas de e-mails e mensagens falsas (inclusive via WhatsApp) com anexos maliciosos ou links para scripts de inicialização.

Uma vez obtido o acesso inicial, o atacante instala beacons que servem como ponto de controle remoto e executa scripts fileless via PowerShell para expandir a infecção.

```
 Persistência e movimento lateral
```

Cria chaves de inicialização no Registro do Windows (MITRE ATT&CK T1547.001).
Explora vulnerabilidades locais para escalar privilégios.
Desativa defesas e serviços de segurança.
Se movimenta lateralmente usando RDP e WMI, acessando servidores críticos e ambientes virtuais.

O foco principal é o vCenter/ESXi, o “coração” da virtualização corporativa. Comprometendo-o, o atacante pode criptografar dezenas de máquinas virtuais simultaneamente, derrubando datacenters inteiros.

```
 Exfiltração e impacto
```

Antes da criptografia, o LockBit 5.0:

Compacta e exfiltra dados sensíveis para servidores de Comando e Controle.
Em seguida, executa a criptografia em massa.
Por fim, apaga backups locais e shadow copies, eliminando caminhos fáceis de restauração.

O resultado é devastador: dados sequestrados, backups inutilizados e ambientes críticos inoperantes.

O modelo de dupla extorsão

A estratégia do grupo LockBit combina duas pressões simultâneas: criptografia total dos sistemas, com paralisação imediata da operação e ameaça de vazamento público, com exposição de dados corporativos, jurídicos e pessoais caso o resgate não seja pago.

Essa abordagem visa não apenas ganhos financeiros, mas também danos reputacionais irreversíveis. A exposição de dados sigilosos pode gerar sanções da LGPD, além de impactos de imagem e perda de confiança do mercado.

Ações preventivas imediatas: o que sua equipe precisa fazer hoje

Proteja o ambiente de virtualização (ação crítica)

Isole a rede de gerenciamento do vCenter/ESXi.
Restrinja o acesso a um número mínimo de administradores e endereços IP.
Desative o SSH e demais serviços desnecessários.
Por quê: os servidores ESXi são o principal alvo. Comprometê-los significa paralisar todo o parque de servidores virtuais.

Corrija vulnerabilidades com urgência

Aplique patches em sistemas operacionais e softwares, priorizando vulnerabilidades com execução remota.
Foque especialmente em appliances de VPN, firewalls e aplicações expostas à internet.
Por quê: o LockBit 5.0 explora falhas conhecidas – e corrigíveis – para acesso inicial.

Valide seus backups

Siga a regra 3-2-1 (3 cópias, 2 mídias diferentes, 1 offline).
Garanta que backups sejam imutáveis ou desconectados da rede principal.
Realize testes de restauração. Por quê: backups comprometidos ou inacessíveis tornam a recuperação impossível.

Reforce o controle de acesso

Implemente MFA em todos os acessos remotos e administrativos.
Revise permissões e remova contas privilegiadas desnecessárias.
Use o princípio do menor privilégio. Por quê: credenciais expostas continuam sendo o vetor mais explorado.

O tempo de resposta é agora

O LockBit 5.0 não é apenas mais uma campanha de ransomware, é um ataque estrutural, com capacidade de atingir o coração da infraestrutura corporativa moderna. Sua sofisticação e velocidade exigem que a resposta das empresas seja igualmente ágil, técnica e coordenada.

Aqui na Danresa, atuamos com gerenciamento contínuo de vulnerabilidades, fortalecimento de políticas de acesso e autenticação multifator, e segmentação de redes críticas para reduzir a superfície de ataque.

Uma abordagem sustentada por soluções EDR e XDR, que oferecem visibilidade completa sobre endpoints e servidores, integradas a um SIEM monitorado 24×7 pelo nosso SOC, capaz de detectar comportamentos anômalos e responder a incidentes em tempo real.

Essa combinação de inteligência, automação e resposta forma o núcleo da nossa estratégia, que alia prevenção, detecção e resiliência contínuas.

A urgência é real. Revisar acessos, segmentar redes e validar backups hoje pode significar a diferença entre um incidente controlado e a paralisação total do seu negócio.