Os pesquisadores de segurança da Dolutech estavam realizando monitoramento responsável na dark web em busca de informações sobre vazamentos de dados quando identificaram algo alarmante: o grupo de ransomware LockBit retornou com força total. Com sua nova versão 5.0, ativa desde setembro de 2025, o grupo está operando em ritmo acelerado neste início de março de 2026, publicando dados capturados de dezenas de empresas que se recusaram a pagar os resgates exigidos.
Neste artigo do blog Dolutech, trazemos um alerta detalhado sobre o ressurgimento do LockBit, as empresas que já foram vitimadas, como essa nova versão funciona e, principalmente, o que fazer para se proteger e a quem recorrer caso sua organização seja atingida.
A História do LockBit: Do Surgimento à Operação Cronos
O LockBit surgiu em 2019, inicialmente conhecido como “ABCD” devido às extensões que aplicava aos arquivos criptografados. Desde então, evoluiu para se tornar um dos maiores e mais sofisticados grupos de Ransomware-as-a-Service (RaaS) do mundo. Em 2022, com a versão 3.0, o LockBit chegou a ser responsável por 44% de todos os ataques de ransomware globais, consolidando-se como o grupo mais ativo do planeta.
Em fevereiro de 2024, a operação internacional “Operation Cronos”, liderada pela National Crime Agency (NCA) do Reino Unido e pelo FBI, desferiu um golpe significativo contra a infraestrutura do LockBit, apreendendo servidores, derrubando sites de vazamento e identificando operadores. Muitos acreditaram que o grupo estava neutralizado. No entanto, essa expectativa se mostrou prematura.
Ainda no início de 2025, o LockBit lançou sua versão 4.0 e, em setembro do mesmo ano, apresentou ao mundo a versão 5.0, demonstrando uma resiliência e capacidade de adaptação que poucos grupos cibercriminosos já exibiram. Como avaliou a Check Point em outubro de 2025, “apesar das ações de aplicação da lei de alto perfil e contratempos públicos, o grupo mais uma vez conseguiu restaurar suas operações, recrutar afiliados e retomar seus ataques.”
O Que Mudou no LockBit 5.0: Análise Técnica
A Acronis Threat Research Unit (TRU) conduziu uma análise detalhada do LockBit 5.0 e revelou avanços significativos em relação às versões anteriores. A nova versão agora suporta de forma nativa três plataformas: Windows, Linux e VMware ESXi, permitindo que atacantes comprometam endpoints, servidores e hipervisores simultaneamente em um único ataque coordenado.
No que diz respeito à criptografia, o LockBit 5.0 utiliza o algoritmo XChaCha20 para criptografia simétrica combinado com Curve25519 para criptografia assimétrica. Cada arquivo recebe uma extensão aleatória de 16 caracteres após a criptografia, tornando a recuperação sem backups seguros extremamente difícil.
A variante para Windows é a mais sofisticada, incorporando técnicas avançadas de evasão de defesa como empacotamento customizado, DLL unhooking, process hollowing (injeção no processo legítimo defrag.exe), patching de funções do Event Tracing for Windows (ETW) e limpeza completa de logs do sistema. A amostra também utiliza ofuscação Mixed Boolean-Arithmetic (MBA) para dificultar a análise por engenharia reversa.
Um aspecto particularmente preocupante, destacado pela Acronis, é o suporte declarado ao Proxmox, plataforma de virtualização open-source cada vez mais adotada por empresas como alternativa a hipervisores comerciais. Isso amplia significativamente a superfície de ataque do grupo.
A versão para ESXi possui funcionalidades específicas para ambientes virtualizados, incluindo a capacidade de localizar a pasta /vmfs/ onde ficam armazenados os arquivos das máquinas virtuais e de encerrar VMs ativas para garantir que os arquivos não estejam bloqueados durante a criptografia. Um único hipervisor comprometido pode resultar na criptografia de dezenas ou centenas de máquinas virtuais simultaneamente.
Outro recurso alarmante é o wiper de espaço livre: quando executado com o argumento adequado, o malware cria um arquivo temporário e preenche todo o espaço livre do disco com bytes nulos, dificultando enormemente qualquer tentativa de recuperação forense.
Os Ataques Estão Acontecendo Agora: O Que Nossos Pesquisadores Encontraram
Durante nosso monitoramento na dark web, os pesquisadores da Dolutech identificaram que o site de vazamento de dados do LockBit 5.0 está extremamente ativo. Na data da nossa pesquisa, o portal exibia dezenas de vítimas com contagens regressivas para a publicação total dos dados, indicando que essas organizações não pagaram o resgate exigido.
Entre as vítimas identificadas na primeira captura de tela, datada de meados de fevereiro de 2026, encontramos organizações de diversos países e setores. No cenário internacional, constam nomes como sevenstarsgraceBay.com, um resort de luxo nas Ilhas Turks e Caicos; sosltda.com, provedora colombiana de soluções de segurança; isesa.cl, empresa chilena líder em soluções abrasivas; aeromedSocaustralasia.org, sociedade médica aeronáutica da Australásia; cmcconstruct.com, construtora americana; sands.mu, hotel boutique em Maurício; e hanover-ma.gov, o Departamento de Polícia de Hanover, órgão governamental dos Estados Unidos.
No que diz respeito especificamente ao Brasil, os dados são igualmente preocupantes. Entre as vítimas brasileiras identificadas estão grupoferrosider.com.br, a Ferrosider Componentes, fornecedora líder no setor automotivo; kenta.com.br, a Kenta Informática, empresa que ajuda organizações governamentais e jurídicas a gerenciar informações; guarnera.com.br, a Guarnera Advogados, escritório de advocacia com mais de 35 anos especializado em transações internacionais; e gruposelpe.com.br, o Grupo Selpe.
Na segunda captura, datada de março de 2026, observamos que o grupo continua adicionando vítimas em ritmo acelerado. Aparecem novas organizações como alcornschools.org, um distrito escolar americano dedicado a crianças; facsrl.net, empresa italiana de guindastes; commerfrutta.com, atacadista italiano de frutas; e limpebras.com.br, empresa brasileira líder em serviços de limpeza pública fundada em 2008. Outros alvos incluem audiconcontadores.com.br, empresa brasileira de contabilidade; xpressnebs.com, companhia americana de equipamentos médicos; societaitalianaalimenti.it, grupo italiano do setor alimentício; webster-schools.org, escolas públicas americanas com 250 a 499 funcionários; ikron.org, organização educacional americana; index-precast.com, empresa kuaitiana de pré-fabricados; al-alawi.com, empresa do Golfo Pérsico; e pkmsteel.com, produtora global de aço estrutural.
Esses dados evidenciam que o LockBit 5.0 não discrimina por setor, porte ou região geográfica. Escolas, escritórios de advocacia, empresas de limpeza, hospitais, construtoras, governos municipais e indústrias estão todos na mira.
A Estratégia Evoluiu: Backups Também São Alvos
A empresa brasileira Digital Recovery, especializada em recuperação de dados criptografados, emitiu um alerta recente sobre uma mudança fundamental na estratégia do LockBit 5.0. Diferentemente das ondas anteriores de ransomware, que executavam ataques rápidos e oportunistas, os incidentes envolvendo esta nova versão demonstram períodos prolongados de persistência dentro do ambiente corporativo antes da execução da criptografia.
Durante esse período de permanência, os atacantes mapeiam toda a infraestrutura de TI, coletam credenciais privilegiadas e identificam sistemas críticos, incluindo especificamente os ambientes de backup. Quando a fase de criptografia finalmente começa, raramente se limita aos servidores de produção. Backups, máquinas virtuais, sistemas de storage e bancos de dados são comprometidos simultaneamente, reduzindo drasticamente a capacidade interna de recuperação da empresa.
Como afirmou Henrique Sardinha, CEO da Digital Recovery: “Nos casos que recebemos em nossos laboratórios, é cada vez mais comum que os backups também tenham sido afetados pelo ataque. O LockBit 5.0 demonstra claramente uma estratégia voltada a eliminar qualquer possibilidade de recuperação rápida.” Essa realidade destrói uma das suposições mais perigosas da gestão de risco corporativo: a de que simplesmente possuir backups garante recuperabilidade.
Como se Proteger: Recomendações Essenciais
Diante deste cenário, nós na Dolutech compilamos as recomendações mais críticas com base em análises da CISA, Acronis, Trend Micro e BeyondTrust para que organizações de todos os portes possam fortalecer suas defesas.
A primeira e mais fundamental medida é implementar backups isolados e testados. Os backups devem seguir a regra 3-2-1-1: três cópias dos dados, em dois tipos de mídia diferentes, com uma cópia offsite e uma cópia offline (air-gapped), completamente desconectada da rede. Realizar testes regulares de restauração é igualmente vital, pois um backup que não pode ser restaurado é o mesmo que não ter backup.
A segmentação de rede é outra medida indispensável. Ambientes de produção, backup e gerenciamento devem estar em segmentos de rede separados, com controles de acesso rigorosos entre eles. Interfaces administrativas de hipervisores, consoles de storage e plataformas de gerenciamento de nuvem não devem estar expostas à internet.
A implementação de autenticação multifator (MFA) resistente a phishing, preferencialmente baseada em FIDO2/WebAuthn, em todas as contas privilegiadas é essencial. O LockBit e seus afiliados frequentemente exploram credenciais padrão, senhas fracas e acessos remotos mal configurados para obter a entrada inicial na rede.
Manter todos os sistemas atualizados com os patches de segurança mais recentes é uma defesa básica, mas frequentemente negligenciada. Grupos como o LockBit exploram rotineiramente vulnerabilidades publicamente conhecidas em vez de utilizar zero-days. Priorizar as vulnerabilidades listadas no catálogo Known Exploited Vulnerabilities da CISA é uma forma eficaz de direcionar os esforços de patching.
Por fim, é essencial monitorar endpoints e redes com soluções de EDR/XDR, implementar proteções específicas contra ransomware e manter planos de resposta a incidentes documentados e ensaiados regularmente. A detecção precoce de movimentação lateral, escalonamento de privilégios e exfiltração de dados pode ser a diferença entre conter o ataque e sofrer uma paralisação completa.
A Quem Recorrer: Órgãos Competentes no Brasil e em Portugal
Um dos aspectos mais importantes e frequentemente negligenciados em incidentes de ransomware é a notificação aos órgãos competentes. Muitas empresas, por medo de exposição ou desconhecimento, tentam lidar com o incidente internamente sem realizar as comunicações obrigatórias. Isso é um erro grave, tanto do ponto de vista legal quanto prático.
No Brasil
As empresas brasileiras vítimas de ransomware devem acionar a Autoridade Nacional de Proteção de Dados (ANPD), conforme exige o artigo 48 da LGPD. Quando há comprometimento de dados pessoais, a comunicação à ANPD e aos titulares afetados é obrigatória. Além disso, deve-se registrar um boletim de ocorrência na Delegacia de Crimes Cibernéticos do estado (ou na delegacia mais próxima, caso não exista uma especializada). O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), mantido pelo NIC.br, também deve ser notificado, pois atua na coordenação de resposta a incidentes e pode fornecer orientações técnicas. Em casos que envolvam infraestrutura crítica ou suspeita de atuação de grupos internacionais, a Polícia Federal também possui competência para investigar.
Em Portugal
As organizações portuguesas devem notificar a Comissão Nacional de Proteção de Dados (CNPD), que é a autoridade de controle para efeitos do Regulamento Geral sobre a Proteção de Dados (RGPD). A notificação deve ser feita no prazo de 72 horas após a tomada de conhecimento da violação de dados, conforme determina o RGPD. O Centro Nacional de Cibersegurança (CNCS) de Portugal também deve ser contactado, especialmente quando o incidente afeta serviços essenciais ou infraestrutura crítica. Para fins criminais, a Polícia Judiciária, através da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), é o órgão responsável pela investigação de crimes cibernéticos no país.
Recomendação Universal
Independentemente do país, nós na Dolutech reforçamos que as vítimas nunca devem pagar o resgate. O pagamento financia diretamente as operações criminosas, não garante a recuperação dos dados e, no caso específico do ransomware Sicarii (que opera em aliança com o ecossistema LockBit), o malware descarta suas próprias chaves de criptografia, tornando a descriptografia literalmente impossível mesmo após o pagamento. Além disso, empresas que pagam se tornam alvos preferenciais para ataques futuros, pois os criminosos sabem que estão dispostas a pagar.
O LockBit Opera Como Uma Empresa Criminosa
É fundamental compreender que o LockBit não é um hacker solitário em um porão. É uma operação criminosa estruturada que funciona como um negócio. O modelo RaaS permite que o grupo central desenvolva o malware e a infraestrutura, enquanto “afiliados” executam os ataques em troca de uma porcentagem do resgate. O programa de afiliados do LockBit 5.0 permite explicitamente que afiliados ataquem qualquer organização, incluindo infraestrutura crítica e instalações médicas, colocando a responsabilidade inteiramente sobre quem executa o ataque.
Conforme Henrique Sardinha, da Digital Recovery, resumiu: “O ransomware evoluiu para um modelo de negócios altamente estruturado. Grupos como o LockBit operam com planejamento, divisão de funções e metas financeiras claras, o que aumenta o nível de direcionamento e o impacto geral dos ataques.”
A infraestrutura do LockBit 5.0 também revelou conexões com o SmokeLoader, um backdoor genérico amplamente utilizado para distribuir malware, indicando possível reuso ou cooperação entre infraestruturas criminosas.
Conclusão: O Momento de Agir é Agora
O retorno do LockBit com sua versão 5.0 é um lembrete contundente de que o ransomware continua sendo uma das ameaças mais graves à segurança digital de organizações em todo o mundo. Os dados que nossos pesquisadores da Dolutech identificaram na dark web mostram um grupo que está operando em ritmo intenso, com vítimas em todos os continentes e em todos os setores.
A pergunta não é mais “se” sua organização será alvo, mas “quando”. E quando esse momento chegar, a diferença entre uma recuperação bem-sucedida e uma catástrofe operacional será determinada pelas medidas que foram tomadas antecipadamente.
Nós continuaremos monitorando a atividade do LockBit e de outros grupos de ransomware para manter nossos leitores informados. A cibersegurança é um esforço contínuo, e a informação de qualidade é a primeira linha de defesa.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
