Novo ransomware LockBit ganha novas capacidade e está mais perigoso do que nunca

A Trend Micro identificou uma nova variante do ransomware LockBit em atividade, descrita como “significativamente mais perigosa” do que versões anteriores. O próprio grupo hacker responsável pelo vírus já havia anunciado, em setembro, o lançamento do LockBit 5.0, marcando o sexto aniversário da gangue.

• O que é ransomware?
• 1/3 das empresas pagam resgates ransomware, mas mesmo assim não recuperam dados

Recentemente, os pesquisadores da firma de segurança notaram um arquivo binário do Windows contendo o agente malicioso, também confirmando versões para Linux e ESXi da nova versão do LockBit.

As descobertas sobre o ransomware foram compartilhadas em uma postagem do blog da empresa na última quinta-feira (25).

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

LockBit 5.0 e suas capacidades

Segundo a Trend Micro, a derrubada da infraestrutura da LockBit por oficiais da lei, em 2024, não foi suficiente para cessar as atividades do grupo. Eles apresentaram uma evolução agressiva das suas táticas, voltando com uma versão que inclui interface aprimorada, capacidades furtivas inovadoras e encriptação mais rápida.

O vírus possui várias opções e ferramentas para executar o ataque ransomware, como seleção das pastas a serem encriptadas ou ignoradas, modos de operação como “invisível” e “verbal”, configurações de notas, encriptação e filtragem, bem como exemplos de uso para que afiliados ao grupo hacker saibam o que fazer nos ataques e como.

O ransomware, como de costume, gera uma nota com assinatura LockBit e leva a vítima a um site dedicado aos seus dados vazados. O usuário é apresentado a um “Chat com o suporte” por onde negocia o resgate de seus arquivos com os criminosos. Os arquivos são encriptados em extensões com nomes grandes, com 16 caracteres randomizados, o que dificulta a recuperação dos dados sem o pagamento do resgate. Marcadores tradicionais de terminações de arquivo também são omitidos.

Mais técnicas de evasão também surgiram, como a substituição da API EtwEventWrite por uma instrução 0xC3 (return), o que impede que o Windows consiga detectar o evento, por exemplo. Como nas outras versões, o LockBit 5.0 usa geolocalização para não executar o ataque caso seja detectada língua russa ou localização do usuário na Rússia.

As características do vírus são muito parecidas entre as versões para os diferentes sistemas operacionais, e a variante ESXi mira especificamente na virtualização VMWare, o que os especialistas consideraram como uma “escalada crítica” nas capacidades do ransomware. Foi notada uma reutilização significativa de códigos da versão LockBit 4.0, o que significa que a nova versão é uma evolução do antigo vírus, e não uma construção do zero.

Veja também:

• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
• Sabe o que é pharming? Conheça a ameaça e como evitá-la
• O que é phishing e como se proteger?

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Fonte: Trend Micro