# Baltimore Ransomware - RobbinHood (Maio 2019) > [!danger] Prefeitura Américana Paralisada por 5 Semanas > Em 7 de maio de 2019, o ransomware **RobbinHood** infectou a prefeitura de Baltimore, Maryland, criptografando servidores criticos e paralisando servicos municipais por mais de 5 semanas. O ataque desabilitou sistemas de email, pagamento de impostos, multas, vendas de imoveis e servicos essenciais para 620.000 residentes. A administracao recusou pagar o resgaté de 13 BTC (~US$ 76.000 na epoca) e o custo total da recuperacao ultrapassou US$ 18 milhões - 235 vezes o valor do resgaté. O caso tornou-se referência global sobre os custos reais de nao prevenir ransomware. --- ## Attack Flow ```mermaid graph TB A["🔓 Vetor de Entrada<br/>BlueKeep CVE-2019-0708<br/>RDP sem patch - rede exposta"] --> B["🔍 Reconhecimento Interno<br/>Enumeracao de dominios<br/>Mapeamento de sistemas criticos"] B --> C["⬆️ Escalada de Privilegios<br/>Uso de EternalBlue NSA<br/>Propagação lateral na rede"] C --> D["🛑 Desativacao de Defesas<br/>Kill antivirus e EDR<br/>Deletar shadow copies"] D --> E["🔐 RobbinHood Ransomware<br/>Criptografia de arquivos<br/>Driver malicioso para bypass"] E --> F["📜 Nota de Resgaté<br/>13 BTC exigidos<br/>I Won't Talk With Police"] F --> G["💸 Custo Real: US$ 18M<br/>5 semanas de paralisacao<br/>Servicos municipais offline"] ``` --- ## O que era o RobbinHood O **RobbinHood** foi um ransomware identificado pela primeira vez em abril de 2019 que se distinguia por uma técnica de evasão sofisticada: o uso de um **driver de kernel vulnerável** (GMER) para desabilitar produtos de segurança antes de executar a criptografia. O driver legitimo, assinado digitalmente, era explorado para obter privilegios de kernel e matar processos de antivirus e EDR - tornando o malware eficaz mesmo em ambientes com defesas ativas. A nota de resgaté do grupo continha a frase "I Won't Talk With Police Or FBI" e exigia pagamento em 4 dias, com aumento progressivo do resgaté a cada dia de atraso, e ameaça de delecao permanente após 10 dias. O grupo nao operava como RaaS - desenvolvia e executava ataques diretamente, selecionando alvos governamentais e municipais pelo potencial de pressao politica para pagamento rapido. --- ## Impacto para os Cidadaos de Baltimore A paralisacao afetou diretamente a vida cotidiana de 620.000 moradores: - **Email municipal** completamente desativado - funcionarios usavam contas pessoais do Gmail - **Pagamento de impostos prediais** impossibilitado - proprietarios nao conseguiam pagar nem obter certidoes - **Vendas de imoveis** paralisadas - escritorios de registro sem acesso a sistemas - **Multas e licencas** nao podiam ser emitidas ou pagas - **Servidores de 911** (emergencia) ficaram protegidos, mas sistemas administrativos de saude e segurança publica foram afetados - **Agua e energia** (servicos terceirizados) nao foram afetados diretamente, mas comúnicação com a prefeitura foi interrompida --- ## A Controversia do EternalBlue e da NSA O RobbinHood utilizou o exploit **EternalBlue** - desenvolvido originalmente pela NSA e vazado pelo grupo Shadow Brokers em 2017 - para propagação lateral dentro da rede da prefeitura. Isso gerou debaté sobre a responsabilidade de agencias de inteligência pelo desenvolvimento e perda de controle de cyberweapons. O mesmo EternalBlue havia sido usado no [[2017-05-wannacry]] e [[2017-06-notpetya]]. Dois anos após o vazamento, redes governamentais ainda rodavam sistemas Windows sem os patches de segurança criticos. Baltimore usava Windows XP em varios sistemas - sistemas fora de suporte desde 2014. O [[cve-2019-0708|CVE-2019-0708]] (BlueKeep) afetava versoes antigas do RDP ainda em uso. --- ## Custo da Nao-Prevenção Baltimore recusou pagar o resgaté de 13 BTC (aproximadamente US$ 76.000 em maio de 2019). Os custos reais provaram ser dramaticamente maiores: | Item | Custo Estimado | |------|---------------| | Recuperacao de sistemas | US$ 10 milhoes | | Perda de receita municipal | US$ 8,2 milhoes | | Equipamentos novos | US$ 2,6 milhoes | | **Total** | **US$ 18+ milhoes** | A relacao custo-beneficio de 235:1 (custo vs. resgaté) tornou-se argumento central em debates sobre se pagar resgates e justificavel - embora o pagamento financie criminosos e nao garanta recuperacao. --- ## Relevância para LATAM e Brasil Prefeituras e orgaos municipais brasileiros foram alvo frequente de ransomware nos anos seguintes, com métodologia similar. O ataque a Baltimore foi estudado pelo [[cert-br]] e pelo Ministerio da Gestao como caso-referência. Os vetores de entrada - RDP exposto, sistemas sem patch, ausência de MFA - sao exatamente os mesmos identificados em ataques a municipios brasileiros, especialmente durante a onda de [[2025-q4-ransomware-brasil]]. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | Abr 2019 | RobbinHood identificado pela primeira vez - ataque a Greenville, NC | | 7 Mai 2019 | Ataque a Baltimore - sistemas criptografados | | 8 Mai 2019 | Baltimore confirma ataque publicamente | | 11 Mai 2019 | Prazo de resgaté original expira - Baltimore recusa pagar | | Jun 2019 | Estimativa de US$ 18M em danos publicada | | Jul 2019 | Sistemas gradualmente restaurados a partir de backups | | Ago 2019 | Bloomberg revela uso de EternalBlue no ataque | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[robbinhood-ransomware]] | | CVE Explorada | [[cve-2019-0708\|CVE-2019-0708]] - BlueKeep RDP | | Exploit Reusado | EternalBlue (Shadow Brokers / NSA) | | Técnica MITRE | [[t1486-data-encrypted-for-impact]] | | Técnica MITRE | [[t1562-impair-defenses]] - kill antivirus via driver | | Técnica MITRE | [[t1210-exploitation-of-remote-services]] - BlueKeep | | Contexto | [[2017-05-wannacry]] - mesmo exploit EternalBlue | | Evento relacionado | [[2019-12-trickbot-ryuk-hospital]] | --- > [!info] Navegacao - Eventos Relacionados > [[2017-05-wannacry]] | [[2019-12-trickbot-ryuk-hospital]] | [[2021-05-colonial-pipeline]] | [[_timeline]]