# Stormous ## Visão Geral Stormous e um grupo de ransomware e hacktivismo pro-russo, de provavel origem no Oriente Medio e Russia, ativo desde meados de 2021. O grupo se distingue pela combinacao de motivacoes financeiras e ideológicas - declarando apoio aberto ao governo russo e atacando organizacoes percebidas como adversarias da Russia, principalmente EUA, Ucrania e India. Membro da coalição "The Five Families" junto com [[ghostsec|GhostSec]], ThreatSec, Blackforums e SiegedSec, o Stormous opera atualmente o programa RaaS **STMX_GhostLocker** em parceria com o GhostSec. **O Brasil foi alvo confirmado** de campanhas do grupo, incluindo operações conjuntas com GhostSec contra a empresa brasileira Alfa Comercial em 2023. **Nota de inteligência:** As reivindicacoes do Stormous frequentemente carecem de corroboracao independente. Analistas da KELA, ZeroFox e Trustwave documentaram casos onde dados "roubados" eram, na verdade, informações já disponiveis públicamente. Cada alegacao do grupo deve ser investigada antes de confirmada. ## Organização - The Five Families ```mermaid graph TB A["The Five Families<br/>Coalição criminal/hacktivista<br/>Formada ago/2023"] --> B["Stormous<br/>Pro-russo, Oriente Medio<br/>RaaS StormCry/STMX"] A --> C["GhostSec<br/>Pro-Palestina, hacktivista<br/>GhostLocker RaaS"] A --> D["ThreatSec<br/>Apolitico, financeiro<br/>DDoS + dados"] A --> E["Blackforums<br/>Fórum clandestino<br/>Dados + acesso"] A --> F["SiegedSec<br/>Hacktivismo<br/>Defacement + vazamentos"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#3498db,color:#fff style E fill:#196f3d,color:#fff style F fill:#f39c12,color:#fff ``` ## Attack Flow Stormous ```mermaid graph TB A["🎯 Acesso Inicial<br/>Phishing (T1566.001)<br/>Exploit VPN/RDP vulnerável"] --> B["🔐 Escalada<br/>Token impersonation<br/>NTDS.dit extraction (T1003.003)"] B --> C["🛡️ Evasão<br/>LOLBins (regsvr32)<br/>Desabilitar AV/EDR (T1562)"] C --> D["🔀 Movimento Lateral<br/>RDP com credenciais roubadas<br/>SMB / PsExec propagação"] D --> E["📦 Exfiltração<br/>WinRAR compressao (T1560)<br/>Upload cloud (T1567.002)"] E --> F["💥 Ransomware<br/>StormCry/StormousX<br/>PHP webshell alternativo"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#f39c12,color:#fff style F fill:#196f3d,color:#fff ``` ## Relevância para o Brasil e LATAM > [!warning] Brasil Alvo Documentado > O Stormous tem presenca documentada no Brasil em múltiplas dimensoes: > - **Alfa Comercial** (2023): empresa brasileira listada em operação conjunta com GhostSec pela coalição The Five Families > - Campanhas STMX_GhostLocker afetaram vitimas em Brasil, Argentina e Cuba em 2024 (Cisco Talos) > - Stormous usa hashtags específicas para ataques a cada pais - "#Brazil" foi identificado como alvo ativo > - Parceria com GhostSec expande capacidade operacional do grupo na LATAM ## Cronologia de Operacoes | Data | Evento | |------|--------| | Jul 2021 | Primeiras atividades identificadas | | Fev 2022 | Apoio declarado a Russia; ataque ao MFA da Ucrania | | Abr 2022 | Alegou hack da Coca-Cola (161 GB); dados questionados | | 2022 | Reducao de atividades sob pressao legal | | Jul 2023 | Parceria com GhostSec; ataques a Cuba; retomada forte | | Ago 2023 | The Five Families formada | | Out 2023 | StormousX anunciado + GhostLocker compartilhado | | Fev 2024 | STMX_GhostLocker RaaS lancado formalmente | | Mai 2024 | GhostSec anuncia saida do crime; Stormous assume GhostLocker | | 2025 | Stormous continua ativo; Dragon RaaS surge como spin-off | ## Modelo STMX_GhostLocker RaaS O programa conjunto com GhostSec oferece tres categorias: 1. **Pago** - Acesso completo ao builder de ransomware e painel C2 2. **Gratuito** - Acesso limitado para pequenos operadores 3. **PYV (Publish Your Victim)** - Apenas públicacao de dados roubados (sem ransomware) ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001]] - Emails maliciosos com documentos infectados - [[t1190-exploit-public-facing-application|T1190]] - Exploits em VPNs e RDP expostos - [[t1003-003-ntds|T1003.003]] - Extração de NTDS.dit do AD - [[t1562-impair-defenses|T1562]] - Scripts para desabilitar Windows Defender e EDR - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia de arquivos com StormCry/StormousX - [[t1567-002-exfiltration-cloud-storage|T1567.002]] - Upload de dados para cloud - [[t1102-web-service|T1102]] - Paineis PHP para C2; Telegram para coordenacao ## Software Utilizado - StormCry / StormousX - Ransomware Windows do grupo - [[ghostlocker|GhostLocker 2.0]] - Ransomware Go (parceria com GhostSec) - Dragon Ransomware - Spin-off de jul/2024 baseado em StormCry --- *Fontes: [Trustwave SpiderLabs](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/stormous-the-pro-russian-clout-hungry-ransomware-gang-targets-the-us-and-ukraine/) | [Cisco Talos - GhostSec Joint Ops](https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/) | [KELA Research](https://www.kelacyber.com/blog/stormous-extortion-group-strikes-back/) | [SentinelOne - Dragon RaaS](https://www.sentinelone.com/blog/dragon-raas-pro-russian-hacktivist-group-aims-to-build-on-the-five-families-cybercrime-reputation/)*