g0091-silence - RunkIntel

# Silence > [!danger] Silence - Grupo Russo de Crime Financeiro com Vítimas no LATAM > O **Silence** é um grupo criminoso russo especializado em ataques a instituições financeiras via ATM jackpotting, fraude SWIFT e comprometimento de sistemas de processamento de cartões. Ativo desde 2016, o grupo roubou mais de **$4,2 milhões** entre junho de 2016 e junho de 2019, comprometendo bancos em 30+ países - incluindo **Chile e Costa Rica** (julho de 2019). O Silence demonstrou capacidade de infiltrar e monitorar redes bancárias por semanas antes de acionar o roubo. ## Visão Geral O **Silence** (G0091, também rastreado como Whisper Spider) é um grupo de ameaça financeira com nexo russo documentado pela Group-IB e Kaspersky desde 2016. O grupo se distingue por seu **modelo operacional de três estágios**: longo período de reconhecimento dentro das redes bancárias (semanas a meses), seguido de captura de vídeo dos sistemas-alvo para entender operações, e finalmente execução coordenada de fraudes financeiras simultâneas. A especialidade do Silence é **ATM jackpotting via trojan Atmosphere** - o malware força caixas eletrônicos a dispensar dinheiro sem transação legítima, enquanto mulas de dinheiro recolhem o cash. O grupo também tentou fraudes via sistema **AWS CBR** (Automated Work Station of the Central Bank of Russia), o equivalente russo do SWIFT, e comprometeu sistemas de processamento de cartões de crédito. O grupo tem conexão suspeita com o **TA505** (outra organização criminosa russa) - pesquisadores da Group-IB identificaram que um desenvolvedor de código do TA505 também contribuiu com código para ferramentas do Silence, sugerindo compartilhamento de recursos ou a mesma origem. Geograficamente, o Silence começou focado na ex-URSS (Rússia, Ucrânia, Bielorrússia, Azerbaijão) mas expandiu progressivamente. Em **julho de 2019**, vítimas confirmadas incluíram bancos no **Chile, Costa Rica, Bangladesh, Bulgária e Gana** - demonstrando capacidade operacional global com alcance direto ao LATAM. ## Attack Flow - Roubo Bancário ```mermaid graph TB A["Spear-phishing para banco Engenharia social via email Iscas temáticas financeiras"] --> B["Acesso Inicial T1566.001 Anexo malicioso CHM file ou JavaScript"] B --> C["Execução e Persistência T1218.001 CHM Compiled HTML T1547.001 Registry Run Keys"] C --> D["Reconhecimento Interno T1113 Screen Capture T1125 Video Capture de operações"] D --> E["Movimento Lateral T1021.001 RDP T1078 Credenciais capturadas"] E --> F["Acesso a Sistemas-Alvo SWIFT AWS CBR ATM Management Server"] F --> G["Fraude Coordenada ATM Jackpotting via Atmosphere Mulas recolhem cash simultâneo"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#2980b9,color:#fff style F fill:#d35400,color:#fff style G fill:#196f3d,color:#fff ``` ## ATM Jackpotting - Atmosphere Trojan ```mermaid graph TB A["Acesso ao servidor ATM Management via RDP comprometido"] --> B["Deploy Atmosphere via Software Deployment Tools T1072 SCCM/PDQ"] B --> C["Atmosphere instalado em caixas eletrônicos remotamente via rede"] C --> D["Dia X - Ativação Comando via C2 ATMs dispensam dinheiro"] D --> E["Mulas posicionadas Coleta física simultânea em múltiplos ATMs"] E --> F["Exfiltração financeira Crypto ou transferência Laundering chain"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#27ae60,color:#fff style F fill:#196f3d,color:#fff ``` ## Arsenal Técnico | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[atmosphere\|Atmosphere]] | Trojan ATM | Jackpotting - força dispensação de dinheiro em caixas eletrônicos | | [[s0363-empire\|Empire]] | Framework C2 | Lateral movement, DNS-based C2, reconhecimento de rede | | [[s0191-winexe\|Winexe]] | Exec remoto | Execução remota de comandos via SMB em hosts Windows | | [[s0195-sdelete\|SDelete]] | Anti-forensics | Remoção segura de artefatos pós-comprometimento | | CHM Files | Delivery | Compiled HTML Help Files como vetor de execução de código | | Silence Framework | Framework próprio | Backend C2 customizado para gerenciar implantes | ## Timeline ```mermaid timeline title Silence Group - Cronologia de Ataques 2016-06 : Primeiros ataques confirmados : Tentativa AWS CBR SWIFT fraud na Rússia 2017 : Expansão para Ucrânia e Bielorrússia : ATM jackpotting via Atmosphere : Group-IB documenta grupo 2018 : Ataque a banco no Azerbaijão : Expansão para Polônia e Cazaquistão : CERT-EU e CERT-FR emitem alertas 2019-01 : Dutch-Bangla Bank Bangladesh : Heist de $3M via compromisso de cartões 2019-07 : LATAM confirmado : Chile e Costa Rica comprometidos : Bulgária e Gana também atingidos : 30+ países totalizados ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | CHM files e JavaScript como vetores iniciais para funcionários de bancos | | Compiled HTML File | [[t1218-001-compiled-html-file\|T1218.001]] | CHM (.chm) como bypass de defesas e execução de payload | | Screen Capture | [[t1113-screen-capture\|T1113]] | Reconhecimento longo das operações bancárias antes do roubo | | Video Capture | [[t1125-video-capture\|T1125]] | Gravação de vídeo de telas de sistemas bancários críticos | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimento lateral dentro da rede bancária | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais bancárias capturadas para acesso legítimo | | Software Deployment Tools | [[t1072-software-deployment-tools\|T1072]] | Deploy do Atmosphere em ATMs via ferramentas de gerenciamento de TI | | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Dumping de credenciais para movimento lateral | | Visual Basic | [[t1059-005-visual-basic\|T1059.005]] | Execução de scripts VBScript em entregas de email | | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Ofuscação de comandos para evasão de defesas | ## Relevância para o Brasil e LATAM > [!latam] Silence com Vítimas Confirmadas no LATAM - Chile e Costa Rica (2019) > O Silence não é uma ameaça teórica para o LATAM - **Chile e Costa Rica foram vítimas confirmadas em julho de 2019**. Brasil, com um dos maiores setores bancários da América Latina e extensa rede de ATMs (Bradesco, Itaú, Caixa Econômica Federal), é alvo de perfil idêntico. Fatores de risco para o Brasil: - **Rede ATM massiva**: Brasil tem a 4ª maior rede de ATMs do mundo - alvos ideais para jackpotting. Sistemas Itaú, Bradesco, Caixa com gestão centralizada via software são exatamente o modelo comprometido pelo Silence - **SWIFT/SPB**: O sistema de pagamentos brasileiro (SPB) tem arquitetura similar ao AWS CBR russo que o Silence tentou fraudar - **Spear-phishing bancário**: Funcionários de bancos brasileiros são alvos frequentes de spear-phishing - o vetor preferêncial do Silence - **TA505 e precedente**: O TA505, grupo com conexão ao Silence, realizou campanhas ativas no Brasil com Dridex e FlawedAmmyy - **Sistemas de processamento de cartões**: O comprometimento da Dutch-Bangla Bank via cartões em 2019 tem paralelo direto com processadoras brasileiras (Cielo, Rede, GetNet) Mitigações específicas para setor financeiro brasileiro: 1. Segregar rede de gestão de ATMs da rede corporativa 2. Monitorar acesso RDP a servidores de gerenciamento de caixas eletrônicos 3. Detectar Screen/Video Capture em sistemas de operações bancárias 4. Treinamento anti-phishing específico para operadores de sistemas ATM/SWIFT ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | CHM file executado por processo de email (Outlook spawning hh.exe) | EDR: alertas para hh.exe iniciado por processos de email | | Grabação de tela em horário atípico em sistemas de operações bancárias | SIEM: alertas para execução de screen capture fora de horário de trabalho | | RDP para servidor de gestão de ATMs de host não-autorizado | NDR: alertas para conexões RDP a servidores ATM de IPs não listados em whitelist | | SDelete executado em diretório de logs ou evidências | EDR: alertas para sdelete.exe em paths de logs/auditoria | | Empire DNS-based C2 (queries DNS de alto volume para domínios gerados) | DNS: alertas para hosts com volume anormal de queries DNS para domínios com entropia alta | **Mitigações prioritárias:** 1. Isolar rede de ATMs em VLAN dedicada sem rota para internet 2. Implementar MFA para acesso a consoles de gestão de ATMs 3. Monitorar screen/video capture APIs nos sistemas de operações 4. Bloquear execução de CHM files via Group Policy em estações bancárias ## Referências - [1](https://www.group-ib.com/blog/silence/) Group-IB - Silence Group: Exposing the NeverEnding Exploits (2018) - [2](https://attack.mitre.org/groups/G0091/) MITRE ATT&CK - Silence G0091 - [3](https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-ACT-003.pdf) CERT-FR - Silence Financial Cybercrime Group Advisory (2019) - [4](https://cert.europa.eu/static/WhitePapers/CERT-EU-SWP2018-12-Silence.pdf) CERT-EU - Silence Threat Actor Advisory (2018) - [5](https://threatpost.com/silence-hacker-group-targets-banks-in-30-countries/147140/) ThreatPost - Silence Hacker Group Targets Banks in 30 Countries (2019) **Malware:** [[atmosphere|Atmosphere]] · [[s0363-empire|Empire]] · [[s0195-sdelete|SDelete]] **Setores alvejados:** [[financial|Financeiro]] · [[banking|Bancário]] **Países LATAM afetados:** Chile · Costa Rica **Grupos relacionados:** [[ta505|TA505]] (conexão suspeita de desenvolvedor compartilhado)