Quão distante parece ter ficado fevereiro de 2024, quando o FBI, a Agência Nacional contra o Crime do Reino Unido, a Europol e polícia de mais de 10 países realizaram a Operação Cronos para desmantelar um dos grupos de ransomware mais conhecidos: o LockBit.

Um ano depois, o LockBit voltou às manchetes nos portais de notícias de cibersegurança: em setembro de 2025 foi registrada a primeira atividade do LockBit 5.0, uma nova versão aprimorada e muito mais agressiva.

O Centro de Análise e Compartilhamento de Informações de Saúde (Health-ISAC, na denominação em inglês) emitiu um relatório alertando sobre a atividade desse grupo de ransomware e seu foco no setor de saúde.

Quais são as características diferenciais dessa última variante? Por que ela é classificada como mais agressiva e perigosa do que suas antecessoras? De que maneira consegue se disseminar em pouquíssimas horas? Quais são os alvos preferenciais? As respostas para essas e outras questões, analisamos a seguir.

LockBit 5.0: o que o torna tão perigoso

Em setembro de 2025 ocorreu o sexto aniversário do surgimento do ransomware LockBit e os cibercriminosos por trás dele "comemoraram" com o lançamento de uma nova variante, aprimorada e ainda mais agressiva.

Algumas das características aprimoradas nesta nova versão são:

Multiplataforma

O LockBit 5.0 inclui algumas melhorias. Uma delas é a capacidade de atacar de forma equivalente sistemas Windows, Linux e VMware ESXi, representando um salto em sua capacidade de comprometer ambientes virtualizados completos.​

Por exemplo, se o módulo para ESXi for comprometido por um arquivo malicioso, diversas máquinas virtuais podem ser criptografadas de uma só vez, ampliando o dano potencial em ambientes corporativos, e tudo isso em questão de minutos.

Interface

Por operar no modelo de Ransomware as a Service, o LockBit 5.0 depende de afiliados que utilizam seus serviços e ferramentas. Esta nova variante conta com uma interface de usuário aprimorada, com um formato muito mais claro, que facilita a experiência desses afiliados: desde a definição de diversas opções e parâmetros de execução até a escolha de modelos de nota de resgate e configurações de criptografia. Assim, oferece maior flexibilidade operacional e personalização dos ataques.

Evasão avançada e ofuscação

No Windows, o LockBit 5.0 utiliza técnicas avançadas para ocultar seu funcionamento, empacotando o código e carregando-o por meio de reflexão de DLL, o que torna a análise e a detecção muito mais complexas, já que seu código real não fica visível como em outros tipos de ransomware.​

Além disso, adiciona extensões aleatórias de 16 letras aos arquivos criptografados para impedir a identificação de padrões e dificultar as tentativas de recuperação. Também não deixa marcas ou assinaturas claras nos arquivos afetados, o que complica ainda mais o trabalho de investigação forense.

LockBit: quando tudo começou?

O grupo de Ransomware as a Service começou a operar em 2019 e, ao longo de sua trajetória, foi responsável por pelo menos 7 mil ataques reconhecidos, em mais de 120 países ao redor do mundo. Seus alvos? Dos mais variados: setores de saúde, governo e infraestrutura crítica, todos de alto perfil.

No Brasil, por exemplo, o LockBit atacou à Secretaria da Fazenda do Estado do Rio de Janeiro, em 2022, quando o grupo afirmou ter roubado centenas de gigabytes de dados e chantageou o órgão com a ameaça de vazamento das informações, e o ataque à Atento, em 2021, que impactou operações de contact center na América Latina, incluindo o Brasil, e gerou prejuízos relevantes para a empresa.

lockbit-5.0-ransomware1
Imagem 1. Publicação do grupo LockBit na dark web.

Um de seus marcos ocorreu em 2022, quando o grupo lançou a versão 3.0 de sua ferramenta de criptografia, LockBit Black, e passou a adotar o nome LockBit 3.0. Ao mesmo tempo, lançou um programa de Bug Bounty e até a opção de pagar para que as informações publicadas fossem removidas.

lockbit-5.0-ransomware2
Imagem 2. Programa de Bug Bounty anunciado pelo grupo LockBit em 2022.

Como se proteger do ransomware LockBit 5.0?

O ressurgimento do LockBit convida a revisar alguns pontos-chave na hora de pensar uma estratégia de defesa e proteção contra o ransomware. Confira:

  • Atualizações e correções de segurança: é importante manter todos os equipamentos e softwares da organização atualizados, já que uma das portas de entrada para esse tipo de ransomware são as vulnerabilidades conhecidas nos sistemas.
  • Soluções de detecção avançadas: soluções de segurança e serviços de MDR são aliados fundamentais na hora de monitorar qualquer comportamento incomum nos sistemas, desde a execução de processos não autorizados até movimentos laterais na rede.
  • Segmentação de rede e modelo Zero Trust: limitar o movimento lateral na rede, com controles de acesso bem definidos e rígidos, representa uma camada de segurança muito relevante. Além disso, a abordagem de Zero Trust aumenta a proteção ao partir do princípio de que a empresa não deve confiar, por padrão, em nada que esteja dentro ou fora de sua rede ou perímetro.
  • Backup: essa ação é fundamental, porque um dos principais objetivos desse grupo de ransomware é localizar informações sensíveis e criptografá-las. É importante realizar cópias de segurança periódicas, em um ambiente de armazenamento isolado e que não possa ser alterado.
  • Treinamento e conscientização: esse ponto representa a primeira barreira de defesa. Garantir que cada pessoa consiga identificar um e-mail malicioso de phishing (outro vetor de ataque do LockBit 5.0) pode evitar uma infecção de ransomware que comprometa os sistemas e as informações da organização.