# Kwampirs > Tipo: **malware** · S0236 · [MITRE ATT&CK](https://attack.mitre.org/software/S0236) ## Descrição [[s0236-kwampirs|Kwampirs]] é um backdoor Trojan utilizado pelo grupo [[g0071-orangeworm|Orangeworm]], identificado em 2018 pela Symantec em campanhas de espionagem direcionadas específicamente ao setor de saúde. O [[s0236-kwampirs|Kwampirs]] foi encontrado em máquinas com software instalado para uso e controle de dispositivos de imagem médica de alta tecnologia, como equipamentos de raio-X e ressonância magnética (MRI), em hospitais e clínicas nos Estados Unidos, Europa e Ásia. A escolha de alvos altamente específicos dentro de redes hospitalares - como estações de trabalho conectadas a equipamentos radiológicos - sugere espionagem de propriedade intelectual ou coleta de dados médicos sensíveis de pacientes específicos. O [[s0236-kwampirs|Kwampirs]] se propaga através de compartilhamentos de rede SMB/Windows Admin Shares ([[t1021-002-smbwindows-admin-shares|T1021.002]]) e descoberta de sistemas remotos ([[t1018-remote-system-discovery|T1018]]), permitindo movimento lateral silencioso dentro das redes-alvo. Para persistência, instala-se como serviço Windows ([[t1543-003-windows-service|T1543.003]]) com nomes que imitam serviços legítimos ([[t1036-004-masquerade-task-or-service|T1036.004]]). As capacidades de reconhecimento incluem descoberta de grupos de domínio ([[t1069-002-domain-groups|T1069.002]]), contas locais ([[t1087-001-local-account|T1087.001]]), compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]), serviços do sistema ([[t1007-system-service-discovery|T1007]]) e arquivos/diretórios ([[t1083-file-and-directory-discovery|T1083]]). O binário utiliza padding binário ([[t1027-001-binary-padding|T1027.001]]) para alterar hashes e evadir detecção baseada em assinaturas. Pesquisadores identificaram múltiplas sobreposições técnicas entre o [[s0236-kwampirs|Kwampirs]] e o malware destrutivo [[s0140-shamoon|Shamoon]] (Disttrack), atribuído ao grupo iraniano APT33/Elfin, levantando hipóteses sobre possível reutilização de código ou colaboração entre grupos. O [[g0071-orangeworm|Orangeworm]] permanece sem atribuição definitiva a um Estado-nação, mas o foco em equipamentos médicos especializados e o nível de sofisticação técnica indicam um ator bem-financiado com objetivos de inteligência econômica ou espionagem médica. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1069-002-domain-groups|T1069.002 - Domain Groups]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1027-001-binary-padding|T1027.001 - Binary Padding]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] ## Grupos que Usam - [[g0071-orangeworm|Orangeworm]] ## Detecção A detecção do [[s0236-kwampirs|Kwampirs]] em ambientes de saúde exige monitoramento de movimentação lateral via SMB e comportamentos anômalos de serviços. Indicadores-chave incluem: propagação via compartilhamentos administrativos SMB ([[t1021-002-smbwindows-admin-shares|T1021.002]]) a partir de estações de trabalho conectadas a dispositivos médicos; instalação de novos serviços Windows ([[t1543-003-windows-service|T1543.003]]) com nomes imitando serviços legítimos ([[t1036-004-masquerade-task-or-service|T1036.004]]); e binários com padding anormal ([[t1027-001-binary-padding|T1027.001]]) detectável por análise de entropia. O FBI emitiu alerta específico (PIN-20200303-001) sobre o [[s0236-kwampirs|Kwampirs]] com IOCs atualizados. O monitoramento de descoberta intensiva de domínio ([[t1069-002-domain-groups|T1069.002]]), contas locais ([[t1087-001-local-account|T1087.001]]) e sistemas remotos ([[t1018-remote-system-discovery|T1018]]) em redes hospitalares é essencial, especialmente em sub-redes de IoT médico onde dispositivos de imagem raramente iniciam esse tipo de atividade. Segmentação de rede entre dispositivos médicos e a rede corporativa, combinada com monitoramento de tráfego lateral (East-West), são controles preventivos eficazes. ## Relevância LATAM/Brasil O [[s0236-kwampirs|Kwampirs]] e o [[g0071-orangeworm|Orangeworm]] têm relevância direta para o Brasil, que possui um dos maiores sistemas de saúde do mundo (SUS) com extensa infraestrutura hospitalar pública e privada. Hospitais brasileiros com equipamentos médicos de imagem modernos (TC, PET-CT, RM) conectados em rede são alvos potenciais. O setor de saúde brasileiro tem sido historicamente subinvestido em cibersegurança, criando superfícies de ataque amplas. Ataques ao setor de saúde via ferramentas similares ao [[s0236-kwampirs|Kwampirs]] foram documentados em países latino-americanos, e organizações como AMIL, Dasa, Fleury e hospitais universitários públicos devem incluir esta ameaça em suas avaliações de risco. ## Referências - [MITRE ATT&CK - S0236](https://attack.mitre.org/software/S0236)