LockBit 5.0: grupo ressurge com nova variante após operação policial e registra novas vítimas

O grupo de ransomware LockBit, um dos mais ativos e prolíficos da história, retornou em 2025 após a Operação Cronos de 2024, que havia derrubado parte significativa de sua infraestrutura e resultou na identificação de membros do grupo. O operador LockBitSupp afirmou publicamente em maio de 2025 estar "voltando ao trabalho", e em setembro de 2025 a Check Point Research confirmou a existência da variante LockBit 5.0 infectando organizações.

O ressurgimento do LockBit ocorre em um contexto de reorganização do ecossistema de ransomware-como-serviço (RaaS): o RansomHub, que havia se tornado a operação RaaS mais ativa de 2024 ao absorver afiliados do LockBit e BlackCat, saiu do ar em 1 de abril de 2025. O grupo DragonForce assumiu posição de destaque, aumentando seus ataques em 212,5% em junho de 2025 após anunciar controle da marca RansomHub.

Apesar de operações policiais globais, a descentralização do modelo RaaS — onde diferentes grupos desenvolvem o ransomware, operam a infraestrutura e recrutam afiliados separadamente — dificulta a eliminação completa dos grupos. Em 2025, os pagamentos totais de resgate caíram 35% em relação ao ano anterior, mas o número de ataques aumentou, indicando maior resistência das organizações em pagar.

Organizações devem manter backups offline testados regularmente, implementar EDR em todos os endpoints, segmentar redes para limitar propagação lateral e treinar equipes para reconhecer e-mails de phishing, que são um dos vetores de entrada mais comuns para grupos de ransomware.

Fonte: Check Point Research.