# GravityAdmin > Tipo: **backdoor** · [Mandiant Research - UNC2165](https://www.mandiant.com/) ## Descrição [[gravityadmin|GravityAdmin]] é um backdoor identificado pela Mandiant em análise do grupo UNC2165, um conjunto de atores de ameaça que a Mandiant avalia ser composto por ex-membros ou afiliados do grupo EvilCorp (Indrik Spider), que estava sujeito a sanções do OFAC dos Estados Unidos por suas operações de ransomware BitPaymer e WastedLocker. O GravityAdmin é utilizado para acesso e administração remota de ambientes comprometidos, servindo como ferramenta de persistência no pré-ransomware deployment. O UNC2165 passou a utilizar o ransomware LOCKBIT para distanciar-se da marca EvilCorp sancionada. O [[gravityadmin|GravityAdmin]] implementa comunicação C2 via HTTP/HTTPS e fornece acesso shell remoto, transferência de arquivos e capacidades de reconhecimento. O malware é distribuído tipicamente após comprometimento inicial via phishing ou exploração de credenciais roubadas, sendo parte de uma cadeia de ataque que eventualmente resulta em implantação de ransomware LOCKBIT ou outras famílias. A associação com operações de ransomware de alto impacto torna o GravityAdmin um indicador precursor de alto risco quando detectado. A história do UNC2165 demonstra como grupos de ransomware se adaptam a pressões regulatórias: após sanções americanas contra o EvilCorp e seus operadores, o grupo migrou para usar o ransomware como serviço (RaaS) de outro grupo (LockBit) para evitar que vítimas reconhecessem os operadores sancionados, potencialmente enfrentando penalidades por pagar o resgaté. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar ferramentas de acesso remoto não-autorizadas em ambientes corporativos (o GravityAdmin imita comportamento de ferramentas legítimas) > - Detectar instalação de novas chaves de registro Run por processos sem assinatura digital válida > - Alertar sobre comúnicações HTTP para domínios sem histórico estabelecido a partir de estações de trabalho > - Implementar monitoramento de credenciais (alertas de credential stuffing) como indicador de acesso inicial > - Correlacionar presença do GravityAdmin com indicadores de pré-ransomware (reconhecimento de backup, enumeração de domínio) ## Relevância LATAM/Brasil O grupo associado ao [[gravityadmin|GravityAdmin]] (UNC2165/EvilCorp) e o LockBit têm presença documentada no Brasil, com ataques a hospitais, empresas de varejo e manufatura. O Brasil é consistentemente um dos países mais afetados por ransomware na América Latina, e o GravityAdmin como indicador precursor de implantação de LOCKBIT é de alta relevância para equipes de SOC brasileiras. A identificação de qualquer ferramenta de acesso remoto não-autorizada deve acionar investigação imediata como possível precursor de ransomware. ## Referências - [Mandiant - UNC2165 Analysis](https://www.mandiant.com/resources/blog/unc2165-shifts-to-evade-sanctions)