Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
LockBit é uma operação de ransomware-as-a-service (RaaS) de longa duração, ativa desde 2019, que depende de táticas de dupla extorsão. Após uma grande operação de retaliação policial em fevereiro de 2024, o grupo reapareceu com novas variantes, incluindo LockBit-NG-Dev e LockBit 5.0. Essas últimas variantes introduzem suporte multiplataforma, defesas anti-análise mais fortes e um comportamento pós-encriptação mais destrutivo. A operação continua a atingir organizações de alto valor em vários setores mundialmente.
Investigação
O relatório traça a progressão do LockBit desde a versão 3.0 (LockBit Black), passando pela versão experimental LockBit-NG-Dev, até a iteração atual 5.0. Detalha aspectos técnicos como rotinas criptográficas personalizadas, reflexão de DLL, uso do .NET CoreRT, empacotamento MPRESS e dependência pesada de nomes de serviços com hash para parar processos e serviços. Mudanças comportamentais documentadas incluem modos de execução “invisível”, adulteração de ETW e exclusão automática de logs. A análise também abrange a interrupção da infraestrutura realizada sob a Operação Cronos.
Mitigação
Os defensores devem manter backups offline e imutáveis e verificar rotineiramente seus procedimentos de restauração. Implantar detecção em endpoints que procure comportamentos característicos de ransomware, incluindo atividade suspeita do PowerShell, uso de comandos de administração VSS e criação anormal de mutex. Limitar o uso de contas privilegiadas, restringir técnicas de duplicação de token e bloquear domínios C2 conhecidos do LockBit enquanto monitora padrões anômalos de tráfego TLS.
Resposta
Quando a atividade do LockBit for detectada, isolar imediatamente o sistema comprometido, capturar memória volátil e reunir todos os dados de log pertinentes. Identificar e bloquear o host C2, terminar o processo de ransomware e reter o valor do mutex para trabalho forense posterior. Iniciar a restauração de backups confiáveis e escalar para equipes de resposta a incidentes internas ou externas. Compartilhar indicadores de comprometimento com comunidades relevantes de inteligência de ameaças e compartilhamento de informações.
Fluxo de Ataque
Ainda estamos atualizando esta parte. Inscreva-se para ser notificado
Notifique-meDetecções
Detecção de Uso da API EvtClearLog do LockBit 5.0 [Windows Sysmon]
Visualizar
Detecção de Patch de ETW pelo LockBit 5.0 [Sistema Windows]
Visualizar
Técnicas Anti-Debugging e de Elevação de Privilégio do LockBit 3.0 [Criação de Processo do Windows]
Visualizar
Detectar Auto-Exclusão do LockBit-NG-Dev via Fsutil Zero Data [Evento de Arquivo do Windows
Visualizar
Detecção de Ransomware LockBit-NG-Dev via Exclusão de Sombra e Backup [Windows Powershell]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré‑voo de Telemetria & Linha Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e buscar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque:
O atacante já colocou o binário do ransomware no host da vítima. Para encobrir os rastros, o ransomware invocafsutil.exepara sobrescrever seu próprio arquivo com bytes nulos, efetivamente apagando seu executável do disco. Isso é realizado após o payload ter concluído sua fase de encriptação. Os passos são:- Determine o caminho do executável do ransomware em execução (
$MyPath). - Chame
fsutil.exe file setZeroDataem$MyPathcom a0flag para zerar o arquivo inteiro. - Opcionalmente, exclua o arquivo agora vazio para remover a entrada do sistema de arquivos.
Esta sequência produz um evento de criação de processo onde Imagem=
*fsutil.exe*e LinhaDeComando=*file setZeroData <caminho>*, correspondendo à regra Sigma. - Determine o caminho do executável do ransomware em execução (
-
Script de Teste de Regressão:
# Simular auto‑exclusão do LockBit-NG-Dev via fsutil # 1. Criar um executável "malicioso" fictício (simular o binário do ransomware) $maliciousPath = "$env:TEMPmalicious.exe" Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force # 2. Verificar se o arquivo existe e seu tamanho (opcional) Write-Host "Ransomware fictício criado em $maliciousPath (Tamanho: $(Get-Item $maliciousPath).Length bytes)" # 3. Sobrescrever o arquivo com bytes zero usando fsutil Write-Host "Sobrescrevendo o arquivo com zeros usando fsutil..." fsutil.exe file setZeroData $maliciousPath 0 # 4. Opcional: excluir o arquivo agora vazio para remover totalmente os vestígios Write-Host "Excluindo o arquivo zerado..." Remove-Item -Path $maliciousPath -Force Write-Host "Simulação concluída. Verifique a detecção no SIEM." -
Comandos de Limpeza:
# Certifique-se de que quaisquer artefatos restantes sejam removidos $maliciousPath = "$env:TEMPmalicious.exe" if (Test-Path $maliciousPath) { Remove-Item -Path $maliciousPath -Force Write-Host "Arquivo restante removido $maliciousPath" } else { Write-Host "Não foram encontrados artefatos restantes." }