# AbrahamWiper (DCSrv) > [!high] Wiper Criptográfico Iraniano Vinculado ao Moses Staff e Abraham's Ax > AbrahamWiper, também identificado como DCSrv, é o wiper criptográfico atribuído ao grupo iraniano Cobalt Sapling, que opera as personas Moses Staff e Abraham's Ax. O malware criptografa dados sem oferecer mecanismo de recuperação, mascarando destruição de dados como ataque de ransomware - uma tática característica de operações de impacto iraniana contra Israel e Arábia Saudita. ## Visão Geral AbrahamWiper é o componente destrutivo do arsenal do grupo [[g1009-moses-staff]] (rastreado pela Secureworks como Cobalt Sapling), uma APT iraniana ativa desde pelo menos setembro de 2021 com motivação geopolítica declarada. O grupo opera sob múltiplas personas hacktivist - Moses Staff foca em organizações israelenses enquanto a persona Abraham's Ax, emergida em novembro de 2022, direcionou ataques a ministérios governamentais da Arábia Saudita, possívelmente em resposta ao papel saudita na normalização das relações com Israel. O malware DCSrv utiliza a solução open-source DiskCryptor para cifrar volumes do disco rígido das vítimas, tornando os dados inacessíveis sem qualquer possibilidade real de recuperação - pois o grupo nunca fornece chaves de decriptação. A distribuição é realizada pelo loader PyDCrypt, um componente Python que propaga o DCSrv para outros hosts na rede comprometida. Esta arquitetura - aparência de ransomware sem intenção de recuperação - é característica das operações destrutivas iranianas mascaradas como crime financeiro. O governo saudita, empresas israelenses de tecnologia, saúde e [[government|governo]] figuram como alvos documentados. A campanha [[abrahams-ax-campaign-2022]] inclui a exfiltração de dados do Ministério do Interior da Arábia Saudita, seguida da públicação em site de vazamentos no Tor e na clearnet. ## Como Funciona **Componentes do arsenal:** - **DCSrv (AbrahamWiper)**: wiper principal que utiliza DiskCryptor para cifrar volumes - **PyDCrypt**: loader em Python que distribui DCSrv para outros hosts via WMI e SMB - **StrifeWater RAT**: trojan de acesso remoto usado para estabelecer acesso inicial e persistência - **DriveGuard**: ferramenta auxiliar que monitora a execução do StrifeWater RAT **Funcionamento do DCSrv:** - Instala e utiliza driver legítimo do DiskCryptor para acesso de baixo nível ao disco - Cifra volumes do disco sem armazenar chaves de decriptação acessíveis à vítima - Exibe mensagem de bootloader após reinicialização indicando "ransomware" - A ausência de chaves reais torna o processo irreversível - destruição mascarada como extorsão **Vetor de acesso inicial:** - Exploração de servidores web com vulnerabilidades conhecidas (SQL injection, 1-day exploits) - Implantação de webshells ASPX para persistência e movimentação lateral - Uso de ferramentas LOLBins para reconhecimento e tunelamento de tráfego ## Attack Flow ```mermaid graph TB A["🌐 Exploração Web<br/>SQL injection ou 1-day exploits"] --> B["🐚 Webshell ASPX<br/>Persistência no servidor web"] B --> C["🔍 Reconhecimento<br/>LOLBins e ferramentas públicas"] C --> D["🐍 Deploy PyDCrypt<br/>Loader Python distribui DCSrv"] D --> E["💥 DCSrv Execução<br/>DiskCryptor cifra volumes"] E --> F["🔒 Disco Bloqueado<br/>Mensagem falsa de ransomware"] F --> G["📢 Hack-and-Leak<br/>Dados exfiltrados publicados no Tor"] ``` *Ator relacionado: [[g1009-moses-staff]] · Campanha: [[abrahams-ax-campaign-2022]]* ## Timeline ```mermaid timeline title AbrahamWiper e Moses Staff - Linha do Tempo 2021-09 : Moses Staff emerge : Foco inicial em alvos israelenses : Uso de DCSrv e PyDCrypt documentado 2022-01 a 04 : Campanhas contínuas contra Israel : Vazamentos de dados de empresas IL 2022-11 : Abraham's Ax emerge : Nova persona hacktivist Hezbollah-proxy : Ministério do Interior Saudita comprometido 2023-01 : Secureworks publica análise : Vinculação das duas personas ao Cobalt Sapling : Infraestrutura compartilhada confirmada ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Destruction | [[t1485-data-destruction\|T1485]] | DCSrv cifra volumes sem chave de recuperação | | Disk Content Wipe | [[t1561-001-disk-content-wipe\|T1561.001]] | Destruição de conteúdo de disco via DiskCryptor | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Sistema inoperável após cifração do MBR | | Phishing | [[t1566-phishing\|T1566]] | Entrega via phishing em campanhas selecionadas | | Webshell | [[t1505-003-webshell\|T1505.003]] | Webshell ASPX para persistência pós-exploração | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | SQL injection e exploits 1-day em servidores web | ## Relevância para o Brasil e LATAM > [!latam] Relevância para o Brasil e LATAM > **AbrahamWiper** representa ameaça indireta ao Brasil via parceiros comerciais: empresas brasileiras com operações na **Arábia Saudita** e **Israel** são expostas a spillover de campanhas geopolíticas iranianas. A tática de **wiper mascarado como ransomware** foi adotada por outros grupos e pode aparecer em campanhas contra infraestrutura crítica LATAM — notavelmente nos setores de **energia** e **governo** com presença no Oriente Médio. O modelo hack-and-leak de dados exfiltrados representa risco reputacional adicional além do impacto operacional. O AbrahamWiper e o grupo Moses Staff representam ameaça indireta ao Brasil e LATAM: - **Modelo hacktivista iraniano**: a arquitetura de personas hacktivist (Moses Staff, Abraham's Ax) pode ser replicada por grupos iranianos contra outros alvos geopolíticos, incluindo organizações com ligações ao Oriente Médio - **Parceiros comerciais**: empresas brasileiras com operações na Arábia Saudita e Israel estão expostas a spillover de campanhas desta natureza - **Técnicas replicáveis**: a tática de wiper mascarado como ransomware foi adotada por outros grupos e pode aparecer em campanhas contra infraestrutura crítica LATAM - Organizações do setor [[energy|energia]] e [[government|governo]] com presença no Oriente Médio devem monitorar IoCs associados ao Cobalt Sapling ## Detecção e Defesa **Indicadores comportamentais:** - Instalação do driver DiskCryptor (`dcrypt.sys`) em servidores sem justificativa administrativa - Execução de scripts Python em servidores web fora do contexto de aplicação legítima - Webshells ASPX em diretórios de aplicação web (`inetpub`, `wwwroot`) - Comúnicação SMB e WMI lateral em horários incomuns (propagação do PyDCrypt) **Mitigações recomendadas:** - Implementar monitoramento de integridade de arquivos (FIM) em servidores críticos - Bloquear instalação de drivers não assinados via Device Guard - Segmentar redes de servidores web do restante da infraestrutura corporativa - Manter backups offline testados - único mecanismo de recuperação contra wipers - [[m1053-data-backup|Backup offline]] como controle crítico - wipers tornam outros controles irrelevantes ## Referências - [1](https://www.secureworks.com/blog/abrahams-ax-likely-linked-to-moses-staff) Secureworks CTU - Abraham's Ax Likely Linked to Moses Staff (2023) - [2](https://thehackernews.com/2023/01/researchers-uncover-connection-bw-moses.html) The Hacker News - Moses Staff e Abraham's Ax: mesma entidade (2023) - [3](https://www.securityweek.com/iranian-apt-leaks-data-from-saudi-arabia-government-under-new-persona/) SecurityWeek - Iranian APT Leaks Saudi Government Data (2023) - [4](https://www.sophos.com/en-us/threat-profiles/cobalt-sapling) Sophos - Cobalt Sapling Threat Profile (2025) - [5](https://cyberscoop.com/pro-iranian-abraham-ax-saudi-israel-moses-staff/) CyberScoop - Abraham's Ax focused on Saudi Arabia (2023) - [6](https://attack.mitre.org/groups/G1009/) MITRE ATT&CK - Moses Staff Group G1009