# Moses Staff > [!warning] Hacktivist Iraniano - Destruicao sem Resgaté, Motivacao Politica Pura > Moses Staff nao quer dinheiro. Quer dano máximo: criptografia irrecuperavel de redes, vazamento público de dados roubados e operações de influencia via Telegram. Modelo hibrido de destruicao + guerra psicológica, vinculado a doutrina cibernetica iraniana contra Israel e ocidente. ## Visão Geral Moses Staff e um grupo hacktivista iraniano com suspeita de vinculo ao IRGC, ativo desde setembro de 2021. O grupo ataca organizacoes israelenses - e secundariamente ocidentais - com um modelo incomum: **criptografia irrecuperavel + vazamento de dados + sem demanda de resgaté**. A motivacao e puramente politica: "lutar contra a resistencia e expor os crimes dos sionistas nos territorios ocupados" (declaracao propria do grupo). **Diferenciais taticos:** - Cada amostra de PyDCrypt e compilada específicamente para a vitima (nome de dominio, maquinas e credenciais hardcoded) - Schema de criptografia proprio com flaw identificado por pesquisadores (recuperavel via reversao do algoritmo) - Uso de DiskCryptor (ferramenta legitima de código aberto) para criptografia de volumes - Driver assinado DiskCryptor.sys para evitar detecção de EDR **Operacoes de influencia integradas:** Site Tor para públicacao de dados, conta Twitter @moses_staff_se (suspensa), canal Telegram - tudo para maximizar dano reputacional alem do tecnico. **Persona Abraham's Ax:** Em 2022, o grupo usou a persona "Abraham's Ax" para ataques contra targets no Libano e Arabia Saudita, indicando capacidade de adaptacao de marca conforme objetivo geopolitico. ## Campanhas Notaveis | Período | Campanha | Alvo | Método | |---------|----------|------|--------| | Set 2021 | Moses Staff Launch | Governo, defesa, empresas Israel | PyDCrypt + DCSrv - 16+ org | | Nov 2021 | Rafael Defense Hack | Rafael Advanced Defense Systems | Exfiltração + maps 3D Israel | | Nov 2021 | Israel Post, Min. Defesa | Infraestrutura pública Israel | Criptografia + vazamento | | 2022 | Abraham's Ax | Libano, Arabia Saudita | Wiper variants | | 2022-2023 | Expansao global | Italia, India, Alemanha, Chile, EUA | Targets ocidentais | ## Attack Flow ```mermaid graph TB A["Exploração Publica<br/>T1190 - Microsoft Exchange<br/>Vulnerabilidades conhecidas"] --> B["Web Shell<br/>T1505.003 - Acesso persistente<br/>Shell obfuscado baseado em GitHub"] B --> C["Reconhecimento<br/>T1087/T1082/T1016<br/>Domain, machines, creds coletados"] C --> D["PyDCrypt Customizado<br/>Compilado por vitima<br/>PsExec + WMIC + PowerShell"] D --> E["Movimento Lateral<br/>SMB + credenciais admin<br/>T1021.002 + T1047"] E --> F["DCSrv Deploy<br/>DiskCryptor driver assinado<br/>Criptografia total dos volumes"] F --> G["Vazamento Publico<br/>Telegram + Tor + Twitter<br/>34TB+ de dados publicados"] classDef initial fill:#c0392b,color:#fff,stroke:#922b21 classDef shell fill:#e67e22,color:#fff,stroke:#d35400 classDef recon fill:#34495e,color:#fff,stroke:#2c3e50 classDef malware fill:#8e44ad,color:#fff,stroke:#6c3483 classDef lateral fill:#2980b9,color:#fff,stroke:#1a5276 classDef encrypt fill:#7f8c8d,color:#fff,stroke:#6c7a7d classDef leak fill:#196f3d,color:#fff,stroke:#145a32 class A initial class B shell class C recon class D malware class E lateral class F encrypt class G leak ``` ## Modus Operandi - Diferencial Ideológico ```mermaid graph TB subgraph Ransomware["Ransomware Tradicional"] R1["Criptografia"] --> R2["Demanda de resgaté"] R2 --> R3["Decriptacao se pago"] end subgraph Moses["Moses Staff"] M1["Criptografia sem chave"] --> M2["Zero demanda de resgaté"] M2 --> M3["Vazamento publico garantido"] M3 --> M4["Dano permanente"] end ``` ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1485-data-destruction|T1485 - Data Destruction]] ## Software Utilizado - [[s1032-pydcrypt|PyDCrypt]] - Malware Python compilado com PyInstaller; customizado por vitima com credenciais hardcoded; responsavel por replicacao interna - [[s1033-dcsrv|DCSrv]] - Payload de criptografia baseado em DiskCryptor; mascarado como svchost.exe; instala driver DCDrv.sys para criptografar todos os volumes - [[s1034-strifewater|StrifeWater]] - RAT de stage inicial com capacidade de se auto-deletar, captura de tela e download de extensoes - [[psexec|PsExec]] - Movimento lateral e execução remota ## Contexto no Ecossistema Iraniano Moses Staff faz parte de um cluster de grupos hacktivistas iranianos com motivacao politica similar: - **Pay2Key e BlackShadow** - predecessores com modelo similar mas com pedido de resgaté - **[[scarred-manticore|Scarred Manticore]] (Void Manticore)** - grupo MOIS que usa personas "Karma" e "Homeland Justice" para ataques destructivos similares - Diferenca: Moses Staff parece operar com maior autonomia/orientacao de IRGC, enquanto Void Manticore esta mais estruturalmente ligado ao MOIS ## Relevância para o Brasil e LATAM Moses Staff tem historico documentado de atuacao **fora do Israel** incluindo Chile, Italia, Alemanha e India. A lógica de alvos fora do Oriente Medio segue dois padroes: (1) empresas multinacionais com operações em Israel e (2) expansao de mensagem politica anti-ocidental. O **Chile** já foi alvo documentado, demonstrando alcance LATAM. Organizacoes brasileiras com operações, parcerias ou joint ventures em Israel (tecnologia, segurança, agronegocio, defesa) sao alvos potenciais compatíveis com o perfil do grupo. A superficie de ataque primaria - servidores Microsoft Exchange e IIS sem patch - e extremamente comum em organizacoes brasileiras, especialmente governo e industria. > **Mitigação urgente:** Patchear imediatamente todos os servidores Exchange expostos. Monitorar criação de web shells. Implementar backup offline para dados criticos (a criptografia DCSrv nao tem alternativa de decriptacao se o PyDCrypt for executado com sucesso). ## Detecção e Defesa **Indicadores chave:** - PyDCrypt.exe executado a partir de `C:\Users\Public\csrss.exe` - Criação de servicos DCUMSrv e DCDrv (indicativos de DCSrv) - Driver DCDrv.sys instalado (DiskCryptor driver) - Modificacoes de firewall via netsh.exe em massa - StrifeWater disfarado como `calc.exe` **Mitigacoes prioritarias:** - [[m1051-update-software|M1051 - Updaté Software]] - Patching imediato de Exchange e IIS - [[m1053-data-backup|M1053 - Data Backup]] - Backup offline para recuperacao sem chave - [[m1031-network-intrusion-prevention|M1031 - Network Intrusion Prevention]] - Detecção de web shells ## Referências - [1](https://attack.mitre.org/groups/G1009/) MITRE ATT&CK - G1009 Moses Staff (2024) - [2](https://research.checkpoint.com/2021/mosesstaff-targeting-israeli-companies/) Check Point Research - MosesStaff Targeting Israeli Companies (2021) - [3](https://www.bleepingcomputer.com/news/security/moses-staff-hackers-wreak-havoc-on-israeli-orgs-with-ransomless-encryptions/) BleepingComputer - Moses Staff Ransomless Encryptions (2021) - [4](https://attack.mitre.org/software/S1032/) MITRE ATT&CK - PyDCrypt S1032 (2024) - [5](https://www.picussecurity.com/resource/iranian-threat-actors-what-defenders-need-to-know) Picus Security - Iranian Threat Actors Moses Staff (2026)