catb-ransomware - RunkIntel

# CatB Ransomware > Tipo: **ransomware de espionagem** - ChamelGang/CamoFei - DLL hijacking via MSDTC - atacou Presidência do Brasil 2022 > [!critical] Ransomware de Espionagem que Atacou a Presidência do Brasil - 2022 > **CatB** (também conhecido como CatB99 e Baxtoy) é um ransomware utilizado pelo grupo de espionagem **ChamelGang** (CamoFei) como instrumento de disrupção em operações de ciberespionagem. Em 2022, o grupo atacou a **Presidência da República do Brasil** e o **All India Institute of Medical Sciences (AIIMS)** usando o CatB. O diferencial técnico é o uso de **DLL hijacking via MSDTC** (Microsoft Distributed Transaction Coordinator) para execução privilegiada sem acionar alertas de segurança. ## Visão Geral [[catb-ransomware|CatB]] é um ransomware atribuído ao grupo de espionagem [[chamelgang|ChamelGang]] (também rastreado como CamoFei), um ator de ameaça com possível nexo à China identificado pela SentinelOne e Group-IB. O CatB se distingue da maioria dos ransomwares por ser utilizado não como ferramenta primária de extorsão financeira, mas como **instrumento de disrupção e encobrimento de operações de espionagem** - destruindo evidências de acesso aos sistemas após a coleta de inteligência. O ransomware foi documentado em campanhas de alto perfil no final de 2022: o ataque ao **All India Institute of Medical Sciences (AIIMS)** em novembro de 2022, que paralisou o maior hospital da Índia por cinco dias, e o ataque à **Presidência da República do Brasil**, um dos casos mais sensíveis de ciberataque à infraestrutura governamental brasileira. Ambos os ataques foram atribuídos ao [[chamelgang|ChamelGang]] por pesquisadores da SentinelOne em relatório de 2023. Do ponto de vista técnico, o CatB implementa uma técnica sofisticada de persistência e execução: **DLL hijacking via MSDTC** ([[t1574-001-dll-search-order-hijacking|T1574.001]]). O serviço Windows Distributed Transaction Coordinator (MSDTC) busca uma DLL específica em ordem de diretórios - o CatB coloca sua DLL maliciosa em um local que é verificado antes do legítimo, fazendo o MSDTC carregar e executar o ransomware com privilégios de sistema. Isso elimina a necessidade de escalonamento de privilégios explícito e dificulta a detecção por soluções de segurança que monitoram comportamentos típicos de ransomware. **Plataformas:** Windows ## Como Funciona 1. **Acesso inicial e espionagem:** O [[chamelgang|ChamelGang]] obtém acesso à rede alvo via phishing ou exploração de vulnerabilidades, realiza operações de coleta de inteligência por semanas ou meses antes de implantar o CatB. 2. **DLL hijacking via MSDTC:** O CatB é implantado como DLL maliciosa em diretório verificado pelo serviço MSDTC ([[t1574-001-dll-search-order-hijacking|T1574.001]]) - ao reiniciar o serviço, o ransomware executa com privilégios de sistema. 3. **Detecção de ambiente:** Verifica se está sendo executado em sandbox ou ambiente de análise ([[t1497-001-system-checks|T1497.001]]) - em caso positivo, encerra sem ação. 4. **Roubo de credenciais:** Coleta credenciais de browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e mapeia estrutura de arquivos ([[t1083-file-and-directory-discovery|T1083]]). 5. **Cifragem e disrupção:** Cifra arquivos ([[t1486-data-encrypted-for-impact|T1486]]), elimina backups ([[t1490-inhibit-system-recovery|T1490]]) e deixa nota de resgaté - encerrando a operação de espionagem com disrupção máxima. ```mermaid graph TB A["ChamelGang Acesso Inicial Phishing ou exploit Espionagem silenciosa semanas"] --> B["Coleta de Inteligência Dados sensíveis exfiltrados Preparação disrupção final"] B --> C["DLL Hijacking MSDTC DLL maliciosa em diretório T1574.001 - Execução privilegiada"] C --> D["Detecção de Sandbox Verifica ambiente análise T1497.001 - Anti-evasão"] D --> E["Roubo Credenciais Browsers e dados locais T1555.003 + T1083"] E --> F["Cifragem e Disrupção Arquivos cifrados T1486 + T1490 backups"] F --> G["Encerramento Operação Evidências destruídas Disrupção como cobertura"] classDef spy fill:#1a5276,color:#fff classDef intel fill:#8e44ad,color:#fff classDef hijack fill:#c0392b,color:#fff classDef check fill:#7f8c8d,color:#fff classDef steal fill:#d35400,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef cover fill:#922b21,color:#fff class A spy class B intel class C hijack class D check class E steal class F encrypt class G cover ``` ## Timeline ```mermaid timeline title CatB - Operações ChamelGang Out 2022 : CatB identificado pela primeira vez : ChamelGang usa como ferramenta de disrupção Nov 2022 : Ataque ao AIIMS India : Maior hospital da Índia fora do ar 5 dias Nov 2022 : Ataque à Presidência do Brasil : Caso de espionagem governamental brasileiro 2023 : SentinelOne publica atribuição ao ChamelGang : DLL hijacking via MSDTC documentado 2024 : ChamelGang continua ativo com CatB : Novos alvos governamentais e saúde ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Defense Evasion | [[t1574-001-dll-search-order-hijacking\|T1574.001]] | DLL hijacking via MSDTC para execução privilegiada | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Payload obfuscado para evasão de AV | | Defense Evasion | [[t1497-001-system-checks\|T1497.001]] | Verificação de sandbox/ambiente análise | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de browser | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema comprometido | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Mapeamento de arquivos para cifragem | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem de arquivos para disrupção | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Eliminação de backups e shadow copies | ## Relevância LATAM/Brasil O [[catb-ransomware|CatB]] tem relevância direta e documentada para o Brasil: o grupo [[chamelgang|ChamelGang]] utilizou o ransomware em ataque à **Presidência da República do Brasil** em 2022. Este é um dos casos mais sensíveis de ciberataque documentado contra o governo federal brasileiro, demonstrando que atores de espionagem com nexo estatal consideram o Brasil um alvo de alto valor. O caso é especialmente relevante porque confirma que o Brasil é alvo de grupos de espionagem cibernética sofisticados, não apenas de cibercriminosos oportunistas. A natureza híbrida do CatB - espionagem seguida de ransomware como encobrimento - dificulta a atribuição e a resposta: organizações que detectam apenas o ransomware podem não perceber que houve exfiltração prévia de dados sensíveis. O ataque simultâneo ao AIIMS India e à Presidência do Brasil em 2022 sugere uma campanha coordenada contra alvos governamentais e de saúde de economias emergentes de alto perfil. Órgãos federais brasileiros, secretarias estaduais e grandes hospitais públicos devem considerar o [[chamelgang|ChamelGang]] e o [[catb-ransomware|CatB]] como ameaças ativas e relevantes. **Setores impactados:** [[government|governo]] - saúde - infraestrutura crítica - serviços públicos - defesa nacional ## Detecção - Monitorar DLLs carregadas pelo serviço MSDTC (`msdtc.exe`) - qualquer DLL fora de `%SystemRoot%\System32` é suspeita - Alertar para modificações em diretórios verificados pelo MSDTC antes de carga de DLL - Detectar execução de processos a partir do contexto do MSDTC incomuns à função do serviço - Monitorar criação de arquivos com extensão `.catb` ou outros indicadores de cifragem em massa - Implementar proteção de serviços críticos do Windows contra DLL hijacking via regras de AppLocker - Correlacionar indicadores de espionagem silenciosa (exfiltração lenta) com subsequente atividade de ransomware ## Referências - [1](https://www.sentinelone.com/labs/cl0p-chamelgang-and-others-ransomware-use-in-targeted-attack-campaigns/) SentinelOne - ChamelGang CatB Ransomware in Espionage Campaigns (2023) - [2](https://www.group-ib.com/blog/chamelgang-and-chamelgang-associates/) Group-IB - ChamelGang Associates Analysis (2023) - [3](https://www.bleepingcomputer.com/news/security/catb-ransomware-uses-msdtc-service-to-launch-attacks/) BleepingComputer - CatB MSDTC DLL Hijacking Analysis (2023) - [4](https://cyberscoop.com/aiims-india-ransomware-chamelgang-catb/) CyberScoop - AIIMS India Ransomware ChamelGang Attribution (2023) - [5](https://therecord.media/brazil-presidency-cyberattack-chamelgang-catb) The Record - Brazil Presidency CatB Ransomware Attack (2023)