# Windigo > [!warning] **Windigo**. ## Descrição O grupo Windigo opera desde pelo menos 2011, comprometendo milhares de servidores Linux e Unix por meio do backdoor SSH [[s0377-ebury|Ebury]] para construir uma botnet de spam. Apesar da intervenção de autoridades policiais contra os criadores, os operadores do Windigo continuaram atualizando o Ebury até 2019. ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1090-proxy|T1090 - Proxy]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] ## Software Utilizado - [[s0377-ebury|Ebury]] ## Relevância para o Brasil e LATAM > [!warning] Botnet Legado em Declínio Operacional > Windigo opera desde 2011 mas mantém atividade reduzida desde a intervenção de autoridades em 2013-2014. Embora tenha comprometido milhares de servidores globalmente, o grupo não representa mais ameaça estratégica significativa. Servidores Linux/Unix desatualizado em LATAM podem ainda estar comprometidos por Ebury legado. O risco atual é principalmente de infraestrutura legada não-patcheada. Organizações com servidores Unix/Linux em LATAM devem verificar a presença do backdoor Ebury e aplicar segurança de acesso SSH rigorosa (chaves públicas, desabilitação de senha, multi-fator). --- *Fonte: [MITRE ATT&CK - G0124](https://attack.mitre.org/groups/G0124)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.