g1030-agrius - RunkIntel

# Agrius (Agonizing Serpens) > [!warning] Ator Destrutivo Iraniano - MOIS > O Agrius é vinculado ao Ministério de Inteligência e Segurança do Irã (MOIS) e especializado em **ataques destrutivos com wipers** disfarçados de ransomware. O grupo combina roubo de dados (PII, propriedade intelectual) com destruição sistemática de endpoints para maximizar dano reputacional e operacional. ## Visão Geral O **Agrius** (também rastreado como Agonizing Serpens, Pink Sandstorm, BlackShadow, AMERICIUM, DEV-0022) é um ator iraniano ativo desde pelo menos 2020, com atribuição confirmada ao MOIS. O grupo se distingue pelo modelo operacional em duas fases: 1. **Fase 1 - Coleta**: Explorar servidores web vulneráveis, instalar web shells, extrair PII e propriedade intelectual de bancos de dados, públicar dados roubados no Telegram/redes sociais para dano reputacional 2. **Fase 2 - Destruição**: Implantar múltiplos wipers para destruir dados e tornar endpoints inutilizáveis - política de "terra arrasada" Uma característica marcante é o uso de **fake ransomware**: o grupo deixa notas de resgaté para mascarar a operação como ransomware financeiro, mas na verdade não há intenção de desencriptar - o objetivo é destruição pura. Em 2023, evoliu para wipers mais sofisticados (MultiLayer, PartialWasher, BFG Agonizer) com técnicas BYOVD para evadir EDRs. ## Attack Flow - Ataque Destrutivo com Exfiltração Prévia ```mermaid graph TB A["🌐 Reconhecimento Servidores web expostos NBTscan / NimScan"] --> B["💥 Exploração T1190 Servidores vulneráveis Web shells ASPXSpy"] B --> C["🔑 Coleta de Credenciais T1003.001 LSASS Memory SAM dump + Mimikatz"] C --> D["🔍 Movimentação Lateral T1021.001 RDP Password spraying SMB"] D --> E["💾 Extração de Dados Sqlextractor - bancos SQL PII + IP + emails"] E --> F["📤 Exfiltração + Publicação WinSCP / PuTTY SCP Telegram + leak sites"] F --> G["💣 Implantação de Wipers MultiLayer / BFG Agonizer BYOVD para evadir EDR"] G --> H["💥 Destruição Total Overwrite + delete files Endpoints inutilizáveis"] ``` ## Arsenal de Wipers O Agrius desenvolveu uma família crescente de wipers customizados, todos compartilhando base de código: | Wiper | Tipo | Método de Destruição | |-------|------|----------------------| | [[s1135-multilayer-wiper\|MultiLayer]] | .NET | Gera lista de arquivos, sobrescreve e deleta; muda paths de deletados | | PartialWasher | C++ | Wiper seletivo por flags CLI; sobrescreve 420MB de dados aleatórios | | [[s1136-bfg-agonizer\|BFG Agonizer]] | Customizado | Destruição de MBR e sistema de arquivos | | [[s1134-deadwood\|DEADWOOD]] | Customizado | Wiper legado usado nas primeiras operações | | [[apóstle\|Apóstle]] | .NET | Pseudo-ransomware com wiper embutido | | Sqlextractor | .NET | Coleta PII de bancos SQL antes da destruição | ## Técnica Avançada - BYOVD (Bring Your Own Vulnerable Driver) Em outubro 2023, o Agrius introduziu técnicas BYOVD para contornar soluções EDR: - **Driver GMER**: Ferramenta legítima de detecção de rootkit, usada para remover produtos de segurança - **BadRentdrv2**: PoC públicado públicamente, compilado e adaptado pelo grupo um dia após públicação Isso demonstra capacidade de **adaptação ultrarrápida** ao cenário de defesa - qualquer PoC de BYOVD públicado pode ser incorporado em dias. ## Perfil de Alvos - Foco Israel e Expansão ```mermaid graph TB A["Agrius / MOIS"] --> B["Israel - Primário Education + Tech 2020-2025"] A --> C["UAE Espionagem secundária 2021-2022"] A --> D["Africa do Sul Industria de diamantes 2022"] B --> E["Ján-Out 2023 Campanha educação 3 wipers novos"] B --> F["2020-2022 BlackShadow persona Fake ransomware"] ``` ## Relevância para o Brasil e LATAM > [!info] Risco Moderado - Foco Geografico Restrito > O Agrius nao tem historico de ataques a LATAM. Porém, as capacidades destrutivas do grupo representam um templaté relevante para a região: organizações brasileiras devem entender este modelo de ataque para se preparar contra atores iranianos ou similares que podem expandir operações. Aspectos relevantes para o Brasil: 1. **Templaté de wiper attack**: A métodologia em duas fases (coleta + destruição) de Agrius é replicável por qualquer ator motivado contra organizações de educação, tecnologia ou governo no Brasil 2. **BYOVD crescente**: A técnica BYOVD está sendo adotada por múltiplos grupos - organizações brasileiras devem monitorar drivers vulneráveis (lista LOLBAS) 3. **Fake ransomware**: O modelo de disfarçar destruição como ransomware pode confundir resposta a incidentes - ir direto para contenção sem negociar resgaté 4. **Setor educação**: Universidades brasileiras frequentemente têm postura de segurança mais fraca e são alvos potenciais para qualquer ator que adote TTPs similares Vejá também atores iranianos relacionados: [[void-manticore|Void Manticore]] · [[g0069-mango-sandstorm|MuddyWater]] · [[cyberav3ngers|CyberAv3ngers]] ## Detecção e Mitigação - Monitorar processos incomuns acessando `\Device\PhysicalMemory` ou LSASS (wiper pré-destruição) - Detectar Sqlextractor: execução de sqldumper.exe ou similar fora de jánelas de manutenção - Bloquear WinSCP e PuTTY não autorizados para prevenir exfiltração via SCP - Auditar web shells em servidores IIS (ASPXSpy e variantes) periodicamente - Monitorar carregamento de drivers não autorizados (BYOVD): implementar WDAC (Windows Defender Application Control) - Implementar backups **offline e imutáveis** - único mecanismo de recuperação contra wipers - Após incidente: não negociar resgaté antes de confirmar se é real ransomware ou wiper com nota falsa ## Referências - [1](https://unit42.paloaltonetworks.com/agonizing-serpens-targets-israeli-tech-higher-ed-sectors/) Unit 42 - Agonizing Serpens Targeting Israeli Tech and Education (2023) - [2](https://www.securityweek.com/iranian-apt-targets-israeli-education-tech-sectors-with-new-wipers/) SecurityWeek - Iranian APT Targets Israeli Education with New Wipers (2023) - [3](https://www.csoonline.com/article/1246104/iranian-apt-group-launches-destructive-attacks-against-israeli-organizations.html) CSOOnline - Iranian APT Launches Destructive Attacks (2023) - [4](https://attack.mitre.org/groups/G1030/) MITRE ATT&CK - Agrius G1030 (2025) - [5](https://www.cfr.org/cyber-operations/2025/10/08/agrius/) CFR Cyber Operations Tracker - Agrius (2025)