g0115-gold-southfield

# GOLD SOUTHFIELD (REvil/Sodinokibi) > [!danger] GOLD SOUTHFIELD - Operadores do REvil com Ataque Direto à JBS Brasil > **GOLD SOUTHFIELD** (G0115) são os operadores do ransomware **REvil** (Sodinokibi) - um dos grupos de ransomware mais prolíficos da história. O grupo extorquiu mais de **$2 bilhões** em resgates antes de ser parcialmente desmantelado em 2022. Atingiu diretamente o Brasil com o ataque à **JBS Foods** (maio 2021, $11 milhões pagos) e orquestrou o **ataque Kaseya VSA** (julho 2021) que comprometeu ~1.500 empresas via supply chain de MSPs. ## Visão Geral **GOLD SOUTHFIELD** (G0115) é o nome de rastreamento da Secureworks para os operadores do ransomware [[s0496-revil|REvil]] (também conhecido como Sodinokibi). O grupo é considerado o sucessor direto do GandCrab e opera um modelo RaaS sofisticado, fornecendo infraestrutura de backend para afiliados recrutados em fóruns clandestinos russos. O grupo extorquiu mais de **$2 bilhões** em pagamentos de resgate antes de ser parcialmente desmantelado em 2022 com apoio do FBI e do FSB russo. O REvil se destacou pela **dupla extorsão** (criptografar e ameaçar vazar dados) e pelo modelo de **leilão de dados**: quando a vítima não pagava, os dados eram leiloados. Afiliados recebem 70-80% dos resgates; GOLD SOUTHFIELD fica com 20-30%. **Também conhecido como:** Pinchy Spider (CrowdStrike), operadores do REvil/Sodinokibi ## Ataques de Alto Impacto O grupo é responsável por alguns dos ataques de ransomware mais significativos da história: - **JBS Foods (maio 2021)** - $11 milhões pagos; JBS é empresa brasileira, maior processadora de carne do mundo - **Kaseya VSA (julho 2021)** - exploit zero-day CVE-2021-30116; impactou ~1.500 empresas globalmente; resgate inicial de $70 milhões - **Acer (março 2021)** - $50 milhões, maior demanda de resgate da época ## Attack Flow - REvil Dupla Extorsão ```mermaid graph TB A["🎯 Acesso Inicial MSP / Supply chain (T1199) VPN exploit / phishing"] --> B["🔍 Reconhecimento Mapeamento de rede Identificação de ativos criticos"] B --> C["🔀 Movimento Lateral ConnectWise / RMM tools Cobalt Strike BEACON"] C --> D["📦 Exfiltração Pre-criptografia MEGASync / FileZilla Dados enviados para C2 (T1537)"] D --> E["💥 Deploy REvil PsExec para propagação Criptografia + shadow copy del."] E --> F["💰 Dupla Extorsao Vazamento no Happy Blog Negociacao via TOR"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#196f3d,color:#fff style F fill:#f39c12,color:#fff ``` ## Modelo RaaS - Como Funciona ```mermaid graph TB A["GOLD SOUTHFIELD Desenvolve e mantém REvil Infraestrutura de backend"] --> B["Fóruns Clandestinos Recrutamento de afiliados Somente falantes de russo"] B --> C["Afiliados Conduzem intrusoes Implantam ransomware"] C --> D["Vitimas Pagam resgaté via TOR Site de negociacao dedicado"] D --> E["Split de Receita ~70-80% para afiliados ~20-30% para GOLD SOUTHFIELD"] style A fill:#e74c3c,color:#fff style B fill:#3498db,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#196f3d,color:#fff ``` ## Cronologia de Operações | Data | Evento | |------|--------| | 2018 | Primeiras operações REvil (continuação do GandCrab) | | 2019 | GandCrab encerra; REvil assume; $2,5 milhões/semana de renda | | 2020 | Início da dupla extorsão com vazamento de dados (Happy Blog) | | Mar 2021 | Ataque a Acer - $50 milhões (recorde na época) | | Mai 2021 | Ataque a JBS Foods (Brasil/EUA) - $11 milhões pagos | | Jul 2021 | Ataque Kaseya VSA - zero-day CVE-2021-30116; ~1.500 vítimas | | Out 2021 | REvil vai offline; liderança sumiu (UNKN possívelmente preso) | | Jan 2022 | FSB russo prende 14 membros do REvil a pedido dos EUA | | Abr 2022 | Site de vazamento do REvil volta online (possível rebranding) | ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Trusted Relationship | [[t1199-trusted-relationship\|T1199]] | Comprometimento de MSPs para acesso a clientes downstream | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2021-30116 em Kaseya VSA para supply chain attack | | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Comprometimento de Kaseya VSA para propagar para 1.500 clientes | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | REvil com criptografia Salsa20 + RSA-2048 | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | PowerShell deletando shadow copies antes da criptografia | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell para deleção de backups e reconhecimento | | Remote Access Tools | [[t1219-remote-access-tools\|T1219]] | ConnectWise e AnyDesk abusados para acesso persistente | | Transfer Data to Cloud | [[t1537-transfer-data-to-cloud-account\|T1537]] | Exfiltração via MEGASync para DLS antes de criptografar | ## Software Utilizado - [[s0496-revil\|REvil]] - Ransomware principal (criptografia AES + RSA) - [[s0154-cobalt-strike\|Cobalt Strike]] - Framework de pós-exploração - [[s0591-connectwise\|ConnectWise]] - RMM tool abusada para acesso inicial ## Relevância para o Brasil e LATAM > [!danger] Impacto Direto Documentado no Brasil - JBS Foods $11M > O ataque à JBS Foods em maio de 2021 é um dos casos mais significativos de ransomware com impacto direto no Brasil. A JBS - empresa brasileira fundada em Anápolis, Goiás - pagou $11 milhões em Bitcoin. O grupo também atacou uma empresa brasileira de diagnósticos médicos em 2021, exigindo $5 milhões. Fatores de risco para o Brasil: - **Modelo RaaS replicado**: o REvil foi base técnica para ransomwares subsequentes (BlackCat/ALPHV, LockBit 3.0). Code leaks de 2022 foram usados para criar novos ransomwares ainda operacionais - **Afiliados migrados**: mesmo com GOLD SOUTHFIELD inativo, afiliados do REvil migraram para LockBit, BlackCat e Cl0p - que continuam atacando empresas brasileiras - **Kaseya e MSPs brasileiros**: o modelo de ataque via MSP (Kaseya) é diretamente replicável no Brasil, onde provedores MSP servem centenas de PMEs sem segmentação adequada - **JBS como precedente**: a JBS pagou o resgate - criando sinal de que empresas brasileiras de grande porte pagam. Isso atraiu ransomware gangs subsequentes para o Brasil - **Herança técnica**: o REvil legou ao ecossistema o modelo de leilão de dados, dupla extorsão em larga escala e fórum de recrutamento russo - padrões que todos os grupos ativos hoje seguem ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | MEGASync.exe fazendo uploads massivos de dados | EDR: alertas para MEGASync com volume de upload anormal | | PowerShell deletando shadow copies via vssadmin ou wmic | SIEM: alertas para vssadmin delete shadows por powershell.exe | | ConnectWise instalado em servidor por processo não-TI | EDR: alertas para instalação de RMM por processos não autorizados | | REvil: extensão de arquivo aleatória em todos os arquivos | EDR: alertas para processos renomeando milhares de arquivos com extensão aleatória | | PsExec propagando executável para múltiplos hosts via SMB | NDR: alertas para psexec.exe criando cópias em shares admin$ em múltiplos hosts | **Mitigações prioritárias:** 1. Remover MSPs do modelo de confiança total - segmentar acesso de fornecedores de TI 2. Bloquear vssadmin.exe e wmic shadowcopy delete via AppLocker 3. Backups offline imutáveis fora do alcance da rede corporativa 4. Monitorar instalação de ferramentas RMM (ConnectWise, AnyDesk) por usuários não-TI 5. Patch imediato de vulnerabilidades em softwares de gestão de TI (RMM, VPN, VSA) ## Referências - [1](https://attack.mitre.org/groups/G0115/) MITRE ATT&CK - GOLD SOUTHFIELD G0115 - [2](https://www.secureworks.com/blog/revil-ransomware-reemerges-after-shutdown-universal-decryptor-released) Secureworks - REvil Ransomware Reemerges After Shutdown (2021) - [3](https://unit42.paloaltonetworks.com/revil-threat-actors/) Unit 42 - REvil Threat Actors (2021) - [4](https://www.justice.gov/opa/pr/justice-department-announces-charges-kaseya) DOJ - Kaseya REvil Charges (2021) - [5](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a) CISA - REvil Ransomware Advisory (2021) **Malware:** [[s0496-revil\|REvil/Sodinokibi]] · [[s0154-cobalt-strike\|Cobalt Strike]] **CVE explorado:** [[cve-2021-30116\|CVE-2021-30116]] (Kaseya VSA zero-day) **Campanhas:** [[kaseya-revil-attack-2021\|Kaseya VSA Attack 2021]] **Setores alvejados:** [[technology\|Tecnologia]] · [[manufacturing\|Manufatura]] · [[financial\|Financeiro]] · [[healthcare\|Saúde]]