unc1878 - RunkIntel

# UNC1878 > [!high] > Grupo de ransomware de língua russa, operador do Ryuk, identificado pela FireEye/Mandiant em 2020. Responsável por 83% das infecções Ryuk em 2020 e por ataques coordenados contra o setor de saúde dos EUA em plena pandemia de COVID-19. Opera via cadeias TrickBot e BazarLoader para acesso inicial. ## Visão Geral **UNC1878** é um cluster de ameaça rastreado pela Mandiant, identificado em janeiro de 2020 como o principal operador do ransomware **[[s0446-ryuk|Ryuk]]** durante o período de 2019 a 2021. O grupo é associado ao **WIZARD SPIDER** (nomenclatura CrowdStrike) e ao **Team9** e operou em estreita colaboração com os distribuidores do [[s0266-trickbot|TrickBot]] e [[bazarloader|BazarLoader]] para obter acesso inicial às redes-alvo. O impacto do UNC1878 foi desproporcionalmente concentrado no setor de [[healthcare|saúde]]: em outubro de 2020, em plena pandemia de COVID-19, o grupo conduziu ataques coordenados contra hospitais americanos - comprometendo até 6 hospitais em um único dia e perturbando sistemas de registros médicos eletrônicos. O FBI e o CISA emitiram alertas de emergência em outubro de 2020 advertindo sobre uma ameaça "iminente e crescente" de ransomware contra o setor de saúde americano. O grupo se distingue de outros operadores Ryuk por dois aspectos: (1) não realizava exfiltração de dados antes da criptografia - foco puro em ransom, não em extorsão dupla; e (2) taxas de sucesso de pagamento estimadas em 27% - excepcionalmente alta para ransomware, refletindo a pressão operacional sobre hospitais. ## Attack Flow - TrickBot para Ryuk ```mermaid graph TB A["📧 Acesso Inicial Email phishing com Emotet ou BazarLoader"] --> B["🐛 TrickBot Implant Coleta credenciais Reconhecimento AD"] A --> C["🔄 BazarLoader (2020+) Acesso inicial mais furtivo Menos detecção"] B --> D["🎯 Cobalt Strike Lateral movement Escalonamento de privilégio"] C --> D D --> E["🏥 Comprometimento Hospitalar Acesso a EHR systems Identificação de backups"] E --> F["🔒 Ryuk Ransomware Criptografia em horas Pós-comprometimento dwell"] F --> G["💰 Nota de Resgate Não exfiltra dados Pagamento em Bitcoin"] classDef initial fill:#1a1a2e,color:#e0e0ff,stroke:#4a4a8a classDef implant fill:#1c4a7b,color:#bfdbfe,stroke:#3b82f6 classDef lateral fill:#1a3a1a,color:#86efac,stroke:#22c55e classDef target fill:#7b5c1c,color:#fff,stroke:#a07a1a classDef ransom fill:#7b1c1c,color:#fff,stroke:#a02020 classDef extort fill:#4f3d0d,color:#fde68a,stroke:#f59e0b class A initial class B,C implant class D lateral class E target class F ransom class G extort ``` | Técnica | ID | Uso | |---------|-----|-----| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ryuk ransomware - criptografia em massa | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails com TrickBot/BazarLoader | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução pós-comprometimento | | SMB/Windows Admin Shares | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Movimento lateral via SMB | ## Ataques ao Setor de Saúde (Outubro 2020) ```mermaid timeline title UNC1878 - Cronologia de Ataques 2020 2020-01 : FireEye identifica UNC1878 : TrickBot + Ryuk encadeados 2020-09 : BazarLoader introduzido : Cadeia mais furtiva 2020-10-01 : Universal Health Services : 400+ hospitais afetados 2020-10-16 : Alerta FBI/CISA : Ameaça iminente ao setor saude 2020-10-28 : 6 hospitais em um dia : Pico de ataques coordenados 2021-01 : Declínio do UNC1878 : Operação RYUK encerra ``` **Vítimas notáveis:** - **Universal Health Services** (setembro 2020) - uma das maiores redes hospitalares dos EUA; 400+ hospitais perturbados, funcionários reverteram para papel e caneta - **Sky Lakes Medical Center** (Oregon) - sistemas de TI completamente derrubados - **Lawrence Health System** (Nova York) - operações de ER comprometidas O FBI estimou que o UNC1878 recebeu mais de **100 milhões de dólares** em pagamentos de ransomware durante o período de maior atividade. ## Relevância para o Brasil e LATAM > [!latam] > O UNC1878 está inativo desde 2021 e não representa ameaça direta atual. Porém, o padrão de ataques a hospitais durante crises de saúde pública é um precedente importante. O setor de saúde brasileiro demonstrou vulnerabilidades críticas durante a pandemia de COVID-19, e grupos herdeiros do modelo Ryuk (como o Conti, que absorveu parte da operação) continuam ativos. O modelo TrickBot-to-Ryuk é um precursor direto dos ransomware-as-a-service (RaaS) modernos que afetam o Brasil. Organizações de [[healthcare|saúde]] no Brasil devem revisar defesas contra o padrão de ataque: phishing inicial - implant de reconhecimento - Cobalt Strike - ransomware. ## Referências - [1](https://www.mandiant.com/resources/blog/unc1878-trickbot-ryuk) Mandiant - UNC1878 TrickBot and Ryuk Operator (2020) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-302a) CISA/FBI - Ransomware Activity Targeting Healthcare and Public Health (2020) - [3](https://www.crowdstrike.com/blog/wizard-spider-adversary-update/) CrowdStrike - WIZARD SPIDER Adversary Update (2020) - [4](https://krebsonsecurity.com/2020/10/ransomware-hits-u-s-hospitals-hard-this-week/) Krebs on Security - Ransomware Hits US Hospitals Hard This Week (2020)