bl00dy-ransomware-gang

# Bl00dy Ransomware Gang > [!high] Grupo de Ransomware Oportunista com Foco em Educação e Saúde > Bl00dy é um grupo de ransomware ativo desde 2022, conhecido por usar payloads vazados de outros grupos (Babuk, LockBit 3.0, Conti) e explorar vulnerabilidades públicamente conhecidas como PrintNightmare e o builder vazado do LockBit. Atacou escolas públicas americanas após o alerta da CISA/FBI em 2023. ## Visão Geral O Bl00dy Ransomware Gang é um grupo de cibercrime ativo desde maio de 2022, caracterizado pelo uso oportunista de payloads e builders vazados de grupos de ransomware maiores. O grupo utilizou o builder vazado do LockBit 3.0, o encryptor do Babuk e componentes do Conti em diferentes campanhas — indicando capacidade técnica limitada mas disposição para experimentação com ferramentas disponíveis. Em maio de 2023, a CISA e o FBI emitiram um alerta conjunto sobre o Bl00dy Gang após o grupo comprometer múltiplas escolas públicas americanas explorando o **CVE-2023-27350** — uma vulnerabilidade crítica no PaperCut NG/MF, software de gerenciamento de impressão amplamente usado em educação e saúde. O grupo opera modelo de dupla extorsão com site de vazamento e demonstra disposição para atacar setores sensíveis como educação e saúde, que frequentemente possuem recursos limitados para defesa cibernética. > [!latam] Relevância para o Brasil e LATAM > O modelo de exploração de vulnerabilidades públicamente conhecidas em software amplamente adotado — como o PaperCut — é diretamente aplicável ao contexto brasileiro. Instituições de [[education|ensino]], hospitais e órgãos [[government|governamentais]] brasileiros frequentemente executam versões desatualizadas de software de gerenciamento. A exploração do Bl00dy de vulnerabilidades no PaperCut deve alertar organizações que usam o software no Brasil para aplicação imediata de patches e verificação de comprometimento. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de CVE-2023-27350 (PaperCut) e outras vulnerabilidades públicas | | Initial Access | [[t1566-phishing\|T1566]] | Phishing como vetor alternativo | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia com builders vazados (LockBit 3.0, Babuk) | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies | ## Detecção - Priorizar patching do CVE-2023-27350 em instâncias PaperCut NG/MF - Monitorar acesso anômalo a servidores de impressão por hosts não autorizados - Detectar deleção de shadow copies via vssadmin por processos não esperados - Correlacionar com IoCs públicados no alerta CISA AA23-131A ## Referências - [CISA/FBI - Bl00dy Ransomware Gang Alert AA23-131A (2023)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a) - [BleepingComputer - Bl00dy Ransomware Using PaperCut Exploits Against Education (2023)](https://www.bleepingcomputer.com/news/security/cisa-bl00dy-ransomware-gang-attacking-education-sector-using-papercut-exploits/)