# ChamelGang AIIMS 2022 > [!high] Espionagem Chinesa com Ransomware como Cobertura - AIIMS e Presidência do Brasil > O ataque de novembro de 2022 ao All India Institute of Medical Sciences (AIIMS) - o maior hospital de pesquisa médica da Índia - foi atribuído com alta confiança ao [[chamelgang]], um grupo APT com nexo chinês, pela SentinelLabs e Recorded Future em 2024. O mesmo grupo teria atacado a Presidência do Brasil no mesmo período, usando o ransomware CatB como ferramenta tanto para extorsão financeira quanto para encobrir operações de espionagem cibernética. ## Visão Geral Na noite de 23 de novembro de 2022, o AIIMS (All India Institute of Medical Sciences) em Nova Delhi sofreu um ataque de ransomware devastador que travou todos os servidores do hospital e criptografou 1,3 terabytes de dados. O incidente paralisou operações críticas: registros eletrônicos de pacientes, sistemas de laboratório, radiologia, agendamento e outros serviços digitais ficaram indisponíveis por semanas. Autoridades indianas inicialmente avaliaram que o resgate exigido foi de aproximadamente 200 crore de rúpias (cerca de 25 milhões de dólares). Por quase dois anos, o ataque permaneceu sem atribuição pública. Em junho de 2024, a SentinelLabs e a Recorded Future públicaram um relatório conjunto identificando o [[chamelgang]] - um grupo APT com nexo chinês, também rastreado como CamoFei - como o provável responsável. A atribuição foi baseada na análise de artefatos forenses: o ransomware usado no ataque era o CatB, uma família associada exclusivamente ao [[chamelgang]] por análises de código, mecanismos de staging e artefatos de malware (certificados, strings e ícones). A relevância para o Brasil é direta: o mesmo relatório indica que o [[chamelgang]] atacou a **Presidência do Brasil** no mesmo período (final de 2022), também usando o CatB ransomware. Trata-se de uma das raras evidências documentadas de um grupo APT chinês de nível avançado realizando operações contra infraestrutura crítica brasileira. A hipótese dos pesquisadores é que o ransomware servia a múltiplos propósitos: gerar receita (ou simular motivação financeira para confundir analistas), destruir evidências forenses de espionagem, e causar disrupção como fim em si mesmo - um padrão crescente de atores de espionagem estatal usando ransomware como ferramenta de cobertura. ## Attack Flow do Ataque ```mermaid graph TB A["🎯 Acesso Inicial<br/>Provável exploração de<br/>aplicação web exposta<br/>ou credenciais comprometidas"] --> B["🔧 Implantação BeaconLoader<br/>Ferramenta customizada do ChamelGang<br/>Carrega Cobalt Strike BEACON"] B --> C["🕵️ Persistência e Espionagem<br/>Movimento lateral na rede AIIMS<br/>Exfiltração de dados médicos<br/>Potencialmente meses antes do ataque"] C --> D["💀 CatB Ransomware<br/>Implantado via DLL hijacking<br/>em msdtc.exe (MSDTC service)<br/>Criptografa 1.3TB de dados"] D --> E["📋 Ransom Note<br/>Email ProtonMail como contato<br/>Endereço Bitcoin para pagamento<br/>Nota no início de cada arquivo criptografado"] ``` **Técnicas:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1574-dll-hijacking|T1574]] · [[t1078-valid-accounts|T1078]] ## Impacto no AIIMS | Impacto | Detalhe | |---------|---------| | Dados criptografados | 1,3 TB de registros médicos e dados hospitalares | | Servidores afetados | 5 servidores principais comprometidos | | Serviços interrompidos | Registros eletrônicos, laboratório, radiologia, agendamento | | Duração da interrupção | Semanas (sistemas restaurados gradualmente) | | Resgate exigido | ~200 crore de rúpias (estimativa - ~USD 25M) | ## Relevância para o Brasil > [!high] Presidência do Brasil - Alvo Confirmado do Mesmo Grupo > O relatório SentinelLabs/Recorded Future de junho de 2024 identifica a **Presidência do Brasil** como alvo do [[chamelgang]] no mesmo período (final 2022), com uso do mesmo CatB ransomware. Isso representa um dos casos mais bem documentados de ataque APT chinês contra infraestrutura governamental brasileira. O incidente não foi amplamente divulgado no Brasil, e a atribuição formal ao [[chamelgang]] foi feita por pesquisadores externos apenas em 2024. Organizações governamentais e de saúde brasileiras devem monitorar IoCs associados ao [[chamelgang]] e ao CatB ransomware. ## Padrão: Espionagem Disfarçada de Ransomware O [[chamelgang]] representa uma tendência crescente documentada pela SentinelLabs: grupos APT de espionagem estatal usando ransomware no estágio final de operações para: 1. **Destruir evidências forenses** de operações de coleta de inteligência 2. **Gerar receita paralela** ou simular motivação financeira 3. **Criar atribuição ambígua** - uma organização criminosa financeiramente motivada vs. espionagem estatal 4. **Causar disrupção** como objetivo secundário, ao lado da coleta de inteligência ## Detecção e Defesa - Monitorar DLL hijacking no processo `msdtc.exe` (MSDTC service) - técnica característica do CatB - Detectar presença do executável `svchosts.exe` (diferente do legítimo `svchost.exe`) - artefato CatB - Implementar segmentação de rede rigorosa em ambientes hospitalares e governamentais - Fazer backup offline de dados críticos com válidação de integridade regular - Usar EDR para detectar comportamento anômalo de processos de serviço do Windows ## Referências - [SentinelLabs/Recorded Future — ChamelGang & Friends: Cyberespionage Groups Attacking Critical Infrastructure with Ransomware (Jun 2024)](https://www.sentinelone.com/labs/chamelgang-attacking-critical-infrastructure-with-ransomware/) - [BleepingComputer — Chinese Cyberspies Employ Ransomware in Attacks for Diversion (Jun 2024)](https://www.bleepingcomputer.com/news/security/chinese-cyberspies-employ-ransomware-in-attacks-for-diversion/) - [MediaNama — China Backed Hacker Group Behind 2022 AIIMS Attack (Jun 2024)](https://www.medianama.com/2024/06/223-china-backed-hacker-group-behind-aiims-attack-report/) - [[chamelgang]] - Grupo APT chinês responsável pelo ataque - [[t1486-data-encrypted-for-impact|T1486]] - Técnica de ransomware para impacto - [[t1574-dll-hijacking|T1574]] - DLL hijacking em msdtc.exe (técnica CatB)