Logo TecMundo
Segurança

Criminosos responsáveis pelo ransomware LockBit 5.0 revelam bastidores da operação em entrevista

Grupo cibercriminoso que fez seu retorno em setembro desse ano, após operações policiais, revela como escolhem seus alvos, "código de ética" e afirma que não vão parar as atividades

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule07/11/2025, às 17:15

updateAtualizado em 07/11/2025, às 19:08

O grupo cibercriminoso LockBit 5.0 ressurgiu das cinzas. Em fevereiro deste ano, o grupo havia congelado suas ações após uma operação policial intensa que tinha como objetivo minar parte de suas operações. No entanto, em outubro, noticiamos a volta do grupo a ativa – com um ransomware focado em ataques ainda mais destrutivos para Windows e Linux.

O principal desafio com esse tipo de grupo é a sua imprevisibilidade. É difícil entender como esses agentes se organizam, quais seus objetivos e porque eles fazem o que fazem. No entanto, nesta semana, um representante do LockBit cedeu uma entrevista ao Hackmanac, uma empresa de cibersegurança que analisa o comportamento de grupos cibercriminosos.

smart_display

Nossos vídeos em destaque

Durante o bate-papo, o criminoso detalhou o funcionamento da nova versão do ransomware, a composição do grupo, como eles selecionam alvos, parcerias com instituições e até mesmo o “código de ética” deles.

LockBit 5.0 é grande evolução das versões anteriores

O membro anônimo do grupo começou explicando que a versão 5.0 do LockBit representa um salto marcante, se comparada à outras versões – tanto em sofisticação quanto em eficiência operacional. De acordo com o cibercriminoso, o mecanismo de criptografia foi otimizado para máxima velocidade, reduzindo a janela de reação disponível para os defensores.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

“Cada infecção agora carrega uma extensão de arquivo única de 16 caracteres escolhida aleatoriamente, o que dificulta a detecção por ferramentas convencionais que dependem de assinaturas estáticas. Novas camadas anti-depuração e ofuscação aprimorada tornam a engenharia reversa muito mais difícil”, explica.

30 dias para pagar – e só o lucro importa

O integrante também explicou que houve uma evolução no modo de extorsão. Agora, as instituições afetadas recebem uma nota referenciando “LockBit 5.0” junto com um link de pagamento personalizado.

Ele conta que agora o grupo opera com um prazo de 30 dias para pagamento da dívida, depois disso, os dados são publicados.

Durante a entrevista, o criminoso afirmou que o grupo é motivado 100% pelo dinheiro, ou seja, não existe nenhum governo ou instituição por trás do LockBit. Eles também se categorizam como um negócio: eles “testam” as empresas e, se elas forem vulneráveis, eles exigem o pagamento. 

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

Código de ética interno

Outra informação interessante divulgada durante a entrevista é que o grupo não tem alvos, eles agem puramente por oportunidade. No entanto, existe um “código de ética” dentro do grupo, que impede membros de atacarem instituições sem fins lucrativos. 

“Nós explicitamente excluímos entidades sem fins lucrativos — incluindo instituições de saúde e outras organizações que servem ao bem público — do nosso escopo. Qualquer membro que ataque esses grupos protegidos é banido, e fornecemos uma chave de descriptografia gratuita para ajudá-los a se recuperar”, explica o cibercriminoso.

Criminosos não se assustam com operações policiais

Essa regra, porém, não parece afastar os afiliados – pelo contrário. O entrevistado explica que, mesmo após o desmantelamento do grupo após a operação policial, a maioria dos membros do grupo são antigos, e há muita gente querendo fazer parte.

“O núcleo da rede de afiliados permanece praticamente inalterado; muitos membros de longa data continuam a operar sob o mesmo guarda-chuva. O programa foi reestruturado para eficiência: os afiliados agora ganham acesso ao painel por uma modesta taxa inicial de US$ 500. Apesar das interrupções passadas, os participantes mais ativos permanecem conosco, e novos também estão se juntando”, conta.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Ele também explica que o grupo é persistente e as operações policiais pouco afastam ou geram conflito interno. 

“O fator humano permanece o elo mais fraco em qualquer sistema, incluindo o nosso. Como não pode ser corrigido, a segurança operacional é primordial. Dito isso, embora nossas operações possam ser interrompidas, é improvável que possamos ser eliminados completamente. A resiliência do nosso modelo garante que possamos nos recuperar de reveses melhor do que outros tipos de organizações” contou o cibercriminoso.

Por dentro da mente de criminosos

Toda a entrevista é um caminho para entender a mente dos criminosos – é possível mergulhar em seu individualismo, senso de superioridade e perfeccionismo e até o egocentrismo. Como o integrante explica, os afiliados atuam de forma independente quando entram no grupo.

O LockBit fornece todos os softwares, ferramentas e infraestrutura necessários para a atuação do dia a dia – tudo de última geração, para facilitar a operação. “Não há ponto central de falha que possa comprometer o sigilo. Além disso, confiança não é necessária, se eles quebram as regras, nós simplesmente os banimos”, conta.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

Operação infinita

O criminoso afirma que, como nenhum sistema de TI pode ser seguro, o ransomware permanece um modelo lucrativo e sustentável. Ele acredita ajudar empresas de antivírus e pesquisadores a ganhar dinheiro tentando impedir o faturamento dos criminosos. 

“O ciclo ataque-defesa é interminável: vulnerabilidades são descobertas, exploradas, corrigidas, e novas surgem. Encontramos um bug, exploramos, e eles consertam. Encontramos outro. O dinheiro faz o mundo girar”, afirma.

A última mensagem do cibercriminoso é “não temos planos de sair deste negócio”.

Relembre o caso

O grupo cibercriminoso LockBit retornou em outubro de 2024 com sua versão 5.0, mais sofisticada e letal, após ficar inativo desde fevereiro devido a operações policiais internacionais.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

A nova versão ataca simultaneamente sistemas Windows, Linux e ESXi (plataforma de virtualização), com recursos avançados como criptografia mais rápida, capacidade de apagar rastros e desativar antivírus, além de renomear arquivos com extensões aleatórias de 16 caracteres que dificultam a recuperação.

O ransomware evita atacar sistemas configurados em russo, sugerindo origem na região, e a versão para ESXi representa ameaça especialmente grave por poder comprometer infraestruturas inteiras de virtualização, paralisando operações empresariais completas de uma só vez.

Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.

Perguntas Frequentes

O que é o LockBit 5.0 e por que ele representa uma ameaça maior?
O LockBit 5.0 é a versão mais recente do ransomware operado pelo grupo cibercriminoso LockBit. Ele representa uma evolução significativa em relação às versões anteriores, com melhorias na velocidade de criptografia, uso de extensões de arquivos aleatórias de 16 caracteres para dificultar a detecção e camadas avançadas de ofuscação e anti-depuração, tornando a engenharia reversa mais difícil. Além disso, ataca sistemas Windows, Linux e ESXi, ampliando seu potencial destrutivo.
Como o grupo LockBit escolhe seus alvos?
Segundo o representante do grupo, o LockBit não escolhe alvos específicos, mas age por oportunidade. Eles testam empresas e, se identificam vulnerabilidades, realizam o ataque. No entanto, seguem um "código de ética" que proíbe ataques a instituições sem fins lucrativos, como hospitais e organizações de interesse público.
O que é o “código de ética” mencionado pelo grupo LockBit?
O grupo afirma seguir um código interno que impede ataques a instituições sem fins lucrativos, especialmente da área de saúde e serviços públicos. Caso algum afiliado viole essa regra, é banido do grupo e uma chave de descriptografia gratuita é fornecida à vítima para recuperação dos dados.
Como funciona o modelo de extorsão do LockBit 5.0?
Após a infecção, a vítima recebe uma nota com referência ao LockBit 5.0 e um link de pagamento personalizado. O grupo concede um prazo de 30 dias para o pagamento. Caso não haja quitação, os dados são publicados. O grupo afirma que sua motivação é exclusivamente financeira.
O que mudou na estrutura do grupo após as operações policiais?
Apesar das operações policiais que interromperam suas atividades em fevereiro, o núcleo do grupo permaneceu praticamente intacto. Muitos membros antigos continuam ativos e novos afiliados estão se juntando. O acesso ao painel do grupo agora exige uma taxa inicial de US$ 500, e a estrutura foi reorganizada para maior eficiência.
Por que o LockBit evita atacar sistemas configurados em russo?
Embora o grupo não confirme sua origem, o fato de o ransomware evitar sistemas configurados em russo sugere uma possível ligação com a região. Essa prática é comum entre grupos cibercriminosos que operam em países da ex-União Soviética, como forma de evitar represálias locais.
O que torna a versão para ESXi do LockBit 5.0 especialmente perigosa?
O ataque a sistemas ESXi, uma plataforma de virtualização amplamente usada em ambientes corporativos, permite que o ransomware comprometa múltiplas máquinas virtuais simultaneamente. Isso pode paralisar operações inteiras de uma empresa, tornando o impacto muito mais severo.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 3 dias
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA