sandworm - RunkIntel

# Sandworm > [!danger] APT Estatal — GRU Russo | Maior Grupo de Sabotagem de Infraestrutura > **Sandworm** (MITRE G0034) é o grupo de ameaça mais destrutivo do mundo, atribuído à Unidade 74455 do GRU russo. Responsável pelo NotPetya (2017), pelos apagões de energia na Ucrânia (2015, 2016) e por múltiplos ataques a infraestrutura crítica global com impacto de bilhões de dólares. ## Visão Geral Sandworm é o grupo de sabotagem cibernética mais documentado e destrutivo do mundo, atribuído pela inteligência americana e britânica à Unidade 74455 do GRU russo (Centro Principal de Tecnologias Especializadas). O grupo opera com objetivos estratégicos claros: desestabilizar infraestrutura crítica, apoiar operações militares russas e causar danos econômicos a adversários. O marco definitivo do Sandworm foi o wiper NotPetya (junho de 2017), distribuído via atualização comprometida do software contábil ucraniano M.E.Doc. O NotPetya se propagou globalmente pela internet, causando estimados US$10 bilhões em danos — o ciberataque mais caro da história. Empresas como Maersk, FedEx, Merck e Mondelez sofreram impactos de centenas de milhões de dólares cada. Anteriormente, o Sandworm conduziu os primeiros apagões de energia causados por malware da história: BlackEnergy/KillDisk (dezembro 2015) e Industroyer/CrashOverride (dezembro 2016), ambos na Ucrânia. Com a invasão russa da Ucrânia em 2022, o grupo intensificou operações, incluindo Industroyer2 (abril 2022) contra a rede elétrica ucraniana. Para o Brasil e a América Latina, o Sandworm representa risco para empresas multinacionais com operações na Europa Oriental e para provedoras de software com redes de distribuição de atualizações globais — potencial vetor de supply chain como o NotPetya. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nOSINT / ICS Scanning] --> B[Acesso Inicial\nSupply Chain\nSpear Phishing] B --> C[Execução\nBlackEnergy / Industroyer\nNotPetya wiper] C --> D[Movimento Lateral\nEternalBlue / SMB\nCredenciais] D --> E[Impacto OT/ICS\nManipulação equipamentos\nApagão elétrico] E --> F[Destruição\nWiper / Ransomware falso\nDanos irreversíveis] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Wiper / Destruição de Dados | [[t1486-data-encrypted-for-impact\|T1486]] | NotPetya, KillDisk, Industroyer | | Exploit SMB | [[t1190-exploit-public-facing-application\|T1190]] | EternalBlue (CVE-2017-0145) para propagação | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | PowerShell, Python em ICS | | Comprometimento Supply Chain | [[t1195-supply-chain-compromise\|T1195]] | Distribuição NotPetya via M.E.Doc | ## Detecção e Defesa - Segmentar redes OT/ICS do ambiente corporativo com air gap quando possível - Monitorar atualizações de software de terceiros — verificar assinaturas digitais - Aplicar [[m1049-antivirus-antimalware|M1049]] com detecção comportamental de wipers - Implementar backups imutáveis offline para sistemas críticos - Monitorar propagação SMB com detecção de exploração do CVE-2017-0145 ## Referências - MITRE ATT&CK: [Sandworm G0034](https://attack.mitre.org/groups/G0034/) - DOJ: GRU Sandworm Indictment (2020) — 6 oficiais indiciados - CISA Advisory AA20-296A: Sandworm Actors Exploiting Exim (2020) - ESET: Industroyer2 analysis (2022) - Wired: Sandworm — O Grupo de Hackers Mais Perigoso do Mundo