# DEV-0237 > [!info] Afiliado Oportunista - Múltiplos Programas RaaS > O DEV-0237 opera como afiliado em múltiplos programas RaaS (Conti, BlackMatter, Ryuk), alternando entre grupos à medida que são encerrados. Demonstra a fluidez do ecossistema ransomware-as-a-service, onde afiliados podem migrar entre grupos. > [!warning] Uso Compartilhado do Sliver C2 > O uso do [[s0633-sliver|Sliver]] como framework C2 é compartilhado com atores de espionagem como [[g0016-apt29|APT29]], dificultando a atribuição. Detecções de Sliver devem considerar tanto ameaças de ransomware financeiramente motivadas quanto operações de espionagem estatal. ## Perfil **DEV-0237** (também conhecido como **Sabbath** ou **GOLD TAHOE**) é uma designação da Microsoft para um ator de ameaça financeiramente motivado identificado conduzindo operações de ransomware como afiliado de múltiplos grupos RaaS. O grupo é notável pelo uso do framework C2 de código aberto [[s0633-sliver|Sliver]] - o mesmo utilizado por atores de espionagem como o [[g0016-apt29|APT29]] - em operações de intrusão e pré-ransomware. O grupo foi associado às operações dos ransomwares **Conti**, **BlackMatter**, **Ryuk** e variantes relacionadas, alternando entre programas RaaS à medida que estes eram encerrados. ## Relação com FIN12 O DEV-0237 possui sobreposição comportamental e de ferramentas com o grupo **FIN12** (rastreado pela Mandiant), ambos focados em implantação de ransomware em ambientes de grande porte, com especial foco em organizações do setor de saúde. ## Relevância para o Brasil e LATAM > [!warning] Afiliado Multi-RaaS com Perfil de Saúde > O DEV-0237 opera como afiliado em múltiplos programas ransomware e demonstra preferência por alvos no setor de saúde. Embora historicamente focado em América do Norte, o modelo de afiliado RaaS facilita migração para LATAM conforme programas parentais expandem operações. Hospitais e redes de saúde brasileiras devem considerar este ator como ameaça elevada, especialmente dado uso compartilhado de ferramentas como [[s0633-sliver|Sliver]] com atores de espionagem estatal. A flexibilidade do DEV-0237 em migrar entre grupos RaaS conforme são desmantelados torna sua monitorização contínua crítica. Seu arsenal de loaders comuns ([[s0534-bazar|BazarLoader]], [[s0266-trickbot|TrickBot]]) significam que detecções destas ferramentas devem ser escaladas para investigação em setores de saúde brasileiros. ## Ferramentas e Malware - **[[s0633-sliver|Sliver]]** - framework C2 open-source usado em fases de acesso inicial e reconhecimento pré-ransomware - **[[s0154-cobalt-strike|Cobalt Strike]]** - framework C2 comercial usado em campanhas anteriores - **[[s0534-bazar|BazarLoader]]** / **[[s0266-trickbot|TrickBot]]** - loaders usados para acesso inicial **Malware utilizado:** [[s0633-sliver]] · [[s0154-cobalt-strike]] **Atores relacionados:** [[g0016-apt29|APT29]] (uso compartilhado do Sliver) · [[lockbit]] · [[cl0p]] --- *Fonte: [Microsoft Threat Intelligence - DEV-0237](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/)* *Fonte: [Mandiant - FIN12 Profile](https://www.mandiant.com/resources/fin12-ransomware-intrusion-actor-pursuing-healthcare-sector)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota. ## TTPs Principais O DEV-0237 (também rastreado como FIN12 pela Mandiant) é um operador de ransomware conhecido pela velocidade de implantação, frequentemente pulando a fase de exfiltração. O grupo utiliza credenciais válidas (T1078) obtidas de access brokers para acesso inicial e rapidamente implanta ransomware (T1486) como Ryuk, Conti, Hive e BlackCat. Emprega Windows Command Shell (T1059.003) para execução, desabilita ferramentas de segurança (T1562.001), e utiliza SMB/Admin Shares (T1021.002) com PsExec (T1570) para movimentação lateral. Inibe a recuperação do sistema (T1490) e utiliza WMI (T1047) para execução remota de comandos.