O grupo de ransomware LockBit retornou com uma nova variante, LockBit 5.0, visando organizações em todo o mundo após interrupções da Operação Cronos no início de 2024. Em setembro de 2025, pesquisadores identificaram uma dúzia de vítimas na Europa Ocidental, Américas e Ásia, com a nova versão envolvida em metade dos ataques. A Check Point Research confirma esforços ativos de extorsão usando esta ameaça multiplataforma.
O retorno do LockBit começou de forma sutil, mas ganhou ímpeto em 2025. Em maio de 2025, o administrador do grupo, LockBitSupp, postou no fórum RAMP: “Nós sempre nos erguemos após sermos hackeados.” Em agosto, ele anunciou que o grupo estava “voltando ao trabalho.” O retorno oficial veio no início de setembro de 2025, quando LockBitSupp declarou a revitalização da operação em fóruns subterrâneos e começou a recrutar novos afiliados.
Este ressurgimento seguiu a Operação Cronos, um esforço das forças da lei no início de 2024 que interrompeu o grupo. Apesar da derrubada, a infraestrutura madura do LockBit, reputação e rede de afiliados permitiram uma recuperação rápida. A nova variante LockBit 5.0, chamada internamente de “ChuongDong”, suporta sistemas Windows, Linux e ESXi, permitindo ataques em ambientes híbridos e virtualizados. Cerca de 80% dos ataques observados em setembro visaram Windows, enquanto 20% se concentraram em ESXi e Linux.
As atualizações técnicas no LockBit 5.0 incluem mecanismos anti-análise mais fortes para dificultar a forense, criptografia otimizada para encurtar os tempos de resposta dos defensores e extensões de arquivo aleatórias de 16 caracteres para melhor evasão. O painel de controle de afiliados agora oferece gerenciamento aprimorado com credenciais individuais. Novos afiliados devem depositar cerca de US$ 500 em Bitcoin para acessar as ferramentas. As notas de resgate especificam LockBit 5.0 e fornecem links de negociação personalizados com um prazo de 30 dias antes da publicação de dados.
As dúzia de vítimas de setembro marcam o início do que pode ser uma campanha maior, à medida que a atividade subterrânea continua em outubro. Isso destaca a resiliência dos modelos de ransomware como serviço contra ações de aplicação da lei. As organizações enfrentam a necessidade de defesas que cubram perímetros de rede, endpoints e detecção multiplataforma para combater tais ameaças.