# CostaRicto > [!warning] Grupo mercenário com alvos confirmados no Brasil - espionagem hacker-for-hire > A campanha CostaRicto (MITRE C0004) foi atribuida a um grupo de hackers mercenários (hacker-for-hire) ativo entre outubro de 2019 e novembro de 2020, documentada pela BlackBerry em novembro de 2020. Alvos nos setores financeiro, governamental e tecnológico foram comprometidos na Europa, Asia, Américas e Africa, com presenca confirmada no Brasil. O grupo utilizou o backdoor customizado SombRAT e infraestrutura anonimizada via Tor e proxies em cadeia. ## Visão Geral A **CostaRicto** e uma das poucas campanhas APT atribuidas públicamente a hackers mercenários (hacker-for-hire) com alvos confirmados no Brasil. Diferente de grupos APT patrocinados por Estado com missoes específicas de espionagem nacional, o modelo mercenário da CostaRicto implica que qualquer organização com ativos valiosos pode se tornar alvo - mediante contratacao por um terceiro interessado. A BlackBerry Research & Intelligence Team documentou a campanha em novembro de 2020 após identificar padroes de ataque heterogeneos e infraestrutura incomum. O diferencial tecnico da CostaRicto e sua infraestrutura de anonimizacao em múltiplas camadas: proxies encadeados, tunneling SSH ([[t1572-protocol-tunneling|T1572]]) e a rede **Tor** ([[t1090-003-multi-hop-proxy|T1090.003]]) combinados garantem que a origem real dos atacantes sejá práticamente irrastreaval. O backdoor principal, [[s0615-sombrat|SombRAT]], e malware customizado com capacidades extensas de coleta de dados, execução de comandos remotos e comunicação via canal C2 cifrado - muito mais sofisticado do que o esperado de um grupo sem afiliacao estatal conhecida. O loader complementar [[s0614-costabricks|CostaBricks]] e ferramentas como [[s0194-powersploit|PowerSploit]] e [[psexec|PsExec]] completam o toolkit operacional. O alcance geografico excepcional - Europa, Américas, Asia (especialmente Sul da Asia com India, Bangladesh e Singapura), Australia e Africa - confirma o modelo de atacante-por-contrato sem restricoes geograficas. O foco no setor financeiro como alvo primario e diretamente relevante para o Brasil, onde bancos e fintechs com exposicao internacional representam alvos de alto valor para espionagem corporativa e roubo de dados. A campanha permanece como referência para análise de risco de hackers mercenários na América Latina. ## Attack Flow - CostaRicto ```mermaid graph TB A["🎯 Acesso Inicial<br/>Credenciais / serviços remotos"] --> B["⬇ Ingress Tool Transfer<br/>SombRAT + CostaBricks baixados"] B --> C["🌐 Multi-hop Proxy<br/>Tor + tunneling SSH (T1090.003)"] C --> D["📡 C2 Customizado<br/>Domínios registrados específicamente"] D --> E["🔍 Network Discovery<br/>T1046 - mapeamento de ativos"] E --> F["📤 Data from Local System<br/>Exfiltração via canal C2 cifrado"] F --> G["💀 Espionagem Prolongada<br/>Financeiro, Gov, Tech - global"] classDef access fill:#1a2a3a,color:#99ccff,stroke:#2980b9 classDef infra fill:#2a1a2a,color:#ffaaff,stroke:#8e44ad classDef impact fill:#3a2a1a,color:#ffcc88,stroke:#e67e22 class A,B access class C,D,E infra class F,G impact ``` ## Descrição CostaRicto (MITRE C0004) foi uma campanha de espionagem cibernética documentada pela BlackBerry Research & Intelligence Team em novembro de 2020, ativa entre outubro de 2019 e novembro de 2020. A campanha é atribuída com alta confiança a um grupo de hackers mercenários (hacker-for-hire), caracterizados pela amplitude geográfica de seus alvos e pela especialização técnica demonstrada no desenvolvimento de malware customizado. Diferente de APTs patrocinados por Estado com alvos específicos, a CostaRicto demonstrou padrão de ataque-por-contrato: alvos heterogêneos, malware sob medida para cada operação e infraestrutura cuidadosamente anonimizada via redes de proxies. A infraestrutura técnica da campanha foi elaborada: os atores utilizaram o backdoor [[s0615-sombrat|SombRAT]], malware customizado com capacidades extensas de coleta de dados e comunicação via C2 encriptado. A rede de proxy foi construída sobre [[s0183-tor|Tor]], tunneling SSH via [[t1572-protocol-tunneling|T1572]] e múltiplos saltos de proxy ([[t1090-003-multi-hop-proxy|T1090.003]]) para obscurecer a origem das comúnicações. Domínios C2 foram registrados específicamente para a campanha ([[t1583-001-domains|T1583.001]]), e ferramentas adicionais como [[s0194-powersploit|PowerSploit]], [[psexec|PsExec]] e [[s0613-ps1|PS1]] foram utilizadas para movimento lateral e exfiltração de dados locais ([[t1005-data-from-local-system|T1005]]). Tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]) garantiram persistência nas redes comprometidas. O alcance geográfico da CostaRicto foi excepcional para uma campanha hacker-for-hire: organizações comprometidas foram identificadas na Europa, Ásia, América do Norte e do Sul, Austrália e África, com concentração no Sul da Ásia (Índia, Bangladesh, Singapura). O setor financeiro foi o principal alvo, seguido de governo e tecnologia. A presença nas Américas - com alvos confirmados no Brasil - e o modelo de mercenário cibernético fazem desta campanha um caso de referência para a inteligência de ameaças focada em LATAM. ## Impacto | Métrica | Detalhe | |---------|---------| | Período | Outubro de 2019 – novembro de 2020 | | Modelo | Hacker-for-hire (mercenário cibernético) | | Setores visados | Financeiro (primário), governo, tecnologia | | Regiões | Europa, Américas, Ásia (especialmente Sul da Ásia), Austrália, África | | Malware chave | SombRAT (backdoor customizado), CostaBricks (loader) | | Infraestrutura | Multi-hop proxy + Tor + tunneling SSH para anonimização completa | | Impacto LATAM | Confirmado - alvos no Brasil identificados | ## Relevância LATAM/Brasil O impacto no Brasil e América Latina é **relevante** - a campanha CostaRicto teve alvos confirmados nas Américas, incluindo o Brasil, com foco em instituições financeiras. O modelo hacker-for-hire é especialmente preocupante para a região: qualquer organização com ativos valiosos pode se tornar alvo de uma campanha mercenária sob encomenda de um competidor ou ator estatal que terceiriza operações ofensivas. Instituições financeiras brasileiras, especialmente aquelas com presença internacional, devem considerar a CostaRicto como referência de ameaça. As técnicas de evasão via proxies e Tor são características comuns em campanhas contra alvos brasileiros, e a detecção baseada em análise de tráfego de rede é a principal contramedida recomendada. ## Técnicas Utilizadas - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] ## Software Utilizado - [[s0194-powersploit|PowerSploit]] - [[s0183-tor|Tor]] - [[s0615-sombrat|SombRAT]] - [[psexec|PsExec]] - [[s0614-costabricks|CostaBricks]] - [[s0613-ps1|PS1]] --- *Fonte: [MITRE ATT&CK - C0004](https://attack.mitre.org/campaigns/C0004)*