Ransomware em 2025: O Playbook do LockBit e Como Ele Continua Evoluindo

O Mito da Derrota do LockBit

Em fevereiro de 2024, a Operação Cronos — ação coordenada entre FBI, Europol e NCA — derrubou a infraestrutura do LockBit. Três meses depois, o grupo estava de volta com nova infraestrutura e versão 4.0 do encriptador. A lição: take-downs derrubam infraestrutura, não conhecimento.

Como Funciona o RaaS

O LockBit opera como franquia criminosa: o grupo central fornece o encriptador, C2 e suporte; afiliados executam os ataques e ficam com 20-30% do resgate. O número de atacantes é praticamente ilimitado — qualquer criminoso com capacidade de acesso inicial pode se tornar afiliado.

Dupla Extorsão

Além de encriptar os dados, o grupo exfiltra uma cópia antes:

1. Pague para decriptar — ou perca acesso permanente.
2. Pague para não publicar — ou os dados aparecem no site de vazamentos.

Em 2025, afiliados adicionaram uma terceira extorsão: contato direto com clientes e reguladores da vítima, aumentando pressão legal e reputacional.

Vetores de Entrada em 2025

• Credenciais RDP expostas (mais de 40% dos incidentes)
• VPNs vulneráveis não patchadas (Ivanti, Fortinet, Palo Alto)
• Phishing com documentos Office maliciosos
• Initial Access Brokers vendendo acesso já obtido

O Cenário no Brasil

Segundo país mais atacado na América Latina. Valor médio de resgate pago: R$ 500 mil a R$ 3 milhões. Fator agravante: maioria das empresas opera sem backups offline testados.

Defesas Essenciais

• Backup 3-2-1 com teste de restauração mensal
• EDR em todos os endpoints com detecção comportamental
• Segmentação de rede para conter o raio de explosão
• Plano de resposta a incidente testado antes do incidente

Não é questão de se sua empresa será alvo de ransomware. É questão de quando — e se você estará pronto.

A CyberZ realiza simulações de resposta a incidente de ransomware. Entre em contato para uma avaliação gratuita.