O grupo de ransomware LockBit voltou à ativa após ter suas operações parcialmente desmanteladas por uma ação internacional em fevereiro de 2024. De acordo com a NCC Group, o grupo se reestruturou com mudanças em sua infraestrutura e atualizações nas ferramentas de ataque, o que tem dificultado a detecção e a neutralização de suas atividades. A nova fase da operação inclui o retorno da tática de extorsão dupla criptografando dados e ameaçando divulgá-los publicamente para pressionar as vítimas.

Entre os alvos mais recentes estão empresas dos setores de saúde, logística e tecnologia, espalhadas por diferentes países. A nova versão do ransomware apresenta avanços técnicos, como maior velocidade de criptografia e mecanismos aprimorados para evitar a detecção por antivírus. Paralelamente, o grupo voltou a operar ativamente na dark web, com sites dedicados à publicação de dados roubados e ao recrutamento de afiliados, reafirmando seu modelo ransomware-as-a-service (RaaS).

Esse modelo, baseado na atuação de afiliados independentes, torna o LockBit mais resiliente e difícil de desmantelar completamente, mesmo sob intensa vigilância internacional. Autoridades e especialistas recomendam que organizações reforcem suas defesas: revisão de backups, limitação de privilégios administrativos, monitoramento de movimentação lateral e correções regulares de vulnerabilidades são medidas essenciais. O ressurgimento do LockBit evidencia a capacidade de adaptação das maiores ameaças cibernéticas, mesmo após operações globais de repressão.