destover - RunkIntel

# Destover > [!high] Wiper destrutivo do Lazarus Group - usado no maior ataque de sabotagem cibernética documentado contra empresa privada > O Destover foi a arma central do ataque à Sony Pictures em novembro de 2014, sobrescrevendo MBR e dados de discos de forma irreversível e causando danos estimados em dezenas de milhões de dólares. ## Visão Geral [[destover|Destover]] é um malware de destruição de dados (wiper) desenvolvido e utilizado pelo [[g0032-lazarus-group|Lazarus Group]], grupo de ameaça persistente avançada atribuído pelo governo norte-americano à Coreia do Norte. O Destover tornou-se internacionalmente conhecido pelo papel central no ataque à Sony Pictures Entertainment em novembro de 2014 - considerado o caso mais impactante de sabotagem cibernética contra uma empresa privada até então. O ataque revelou uma capacidade do [[g0032-lazarus-group|Lazarus Group]] além do seu perfil mais conhecido de roubo financeiro: destruição destrutiva deliberada como instrumento geopolítico. O ataque à Sony foi motivado pelo filme "The Interview", que retratava a assassinação fictícia do líder norte-coreano Kim Jong-un. A operação envolveu meses de acesso não detectado à rede da Sony, durante os quais os atacantes exfiltraram terabytes de dados sensíveis (e-mails de executivos, roteiros, dados de funcionários, informações financeiras) antes de implantar o Destover para destruição. O wiper sobrescreveu o Master Boot Record (MBR) de milhares de estações de trabalho e servidores, tornando os sistemas inoperantes. A Sony estimou danos entre 35 e 100 milhões de dólares apenas em custos de recuperação. A análise do Destover revelou três variantes distintas (WhiskeyAlfa, WhiskeyBravo e WhiskeyDelta), cada uma com responsabilidade diferente na operação: reconhecimento e implantação, destruição propriamente dita e comunicação C2. Esta arquitetura modular reflete o nível de planejamento e sofisticação operacional do [[g0032-lazarus-group|Lazarus Group]]. O caso Sony estabeleceu precedente para atribuição pública de estados por ataques cibernéticos, com os EUA fazendo atribuição formal à Coreia do Norte em dezembro de 2014. **Plataformas:** Windows ## Como Funciona O Destover opera em múltiplas fases separadas no tempo. Na fase de reconhecimento e acesso (semanas a meses antes), backdoors de acesso remoto (variante WhiskeyAlfa) são instalados como serviços do Windows para persistência. Na fase de preparação, o wiper propriamente dito é distribuído via SMB (porta 445) para sistemas-alvo na rede interna. Na fase de destruição, o componente de wiper sobrescreve o MBR com dados aleatórios ou zeros, sobrescreve sequencialmente o conteúdo dos discos (incluindo o sistema de arquivos), e em seguida força reinicialização. O sistema resultante é incapaz de inicializar e os dados são irrecuperáveis sem backup offline. Um timer de 2 horas no código foi identificado, sugerindo execução coordenada e simultânea em múltiplos sistemas para maximizar o impacto antes que qualquer resposta fosse possível. A configuração do wiper era armazenada cifrada no arquivo `net_ver.dat`. ## Attack Flow Destover ```mermaid graph TB A["Acesso Inicial Spear-phishing Credenciais comprometidas"] --> B["Reconhecimento prolongado Meses na rede Sony WhiskeyAlfa backdoor"] B --> C["Exfiltração de dados E-mails roteiros SSN Terabytes copiados"] C --> D["Distribuição do wiper SMB porta 445 WhiskeyBravo implantado"] D --> E["Execução coordenada Timer 2 horas Todos os sistemas simultaneos"] E --> F["Destruicao MBR T1561 Disk Wipe Reinicializacao forcada"] F --> G["Sistemas inoperantes Danos 35-100M USD Exfil publicada online"] classDef initial fill:#dc2626,color:#fff classDef recon fill:#ea580c,color:#fff classDef exfil fill:#ca8a04,color:#000 classDef deploy fill:#3b82f6,color:#fff classDef trigger fill:#7c3aed,color:#fff classDef destroy fill:#0f172a,color:#fff classDef impact fill:#16a34a,color:#fff class A initial class B recon class C exfil class D deploy class E trigger class F destroy class G impact ``` ## Linha do Tempo ```timeline Setembro 2014 : Acesso inicial a rede Sony : Campanha de spear-phishing Outubro-Novembro 2014 : Reconhecimento extenso : Exfiltração de TB de dados 24 Novembro 2014 : Destover ativado : Destruicao em massa Sony Pictures Dezembro 2014 : EUA atribuem formalmente a DPRK : FBI e Casa Branca fazem declaracao Janeiro 2015 : Análise técnica publicada : WhiskeyAlfa/Bravo/Delta identificados 2016 : Lazarus Group usa wipers contra bancos : Nexo entre Destover e campanhas bancarias 2022 : Wipers russos na Ucrania seguem modelo Destover : HermeticWiper HermeticWizard citam precedente ``` ## TTPs - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1561-disk-content-wipe|T1561 - Disk Content Wipe]] - [[t1529-system-shutdown-reboot|T1529 - System Shutdown/Reboot]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Relevância LATAM/Brasil O [[g0032-lazarus-group|Lazarus Group]] tem histórico documentado de operações contra o sistema financeiro brasileiro, incluindo tentativas contra o sistema de pagamentos interbancário SPB e o roubo virtual do banco central do Bangladesh (2016), onde o Brasil foi usado como intermediário na lavagem dos fundos roubados via Banco do Astro no Rio de Janeiro. A capacidade de wiper do Destover, combinada com o perfil operacional do [[g0032-lazarus-group|Lazarus Group]], representa uma ameaça de nível catastrófico para qualquer organização brasileira visada: além do roubo financeiro característico do grupo, campanhas de sabotagem destrutiva poderiam ser direcionadas a infraestrutura crítica brasileira em contextos de escalada geopolítica. A Coreia do Norte possui motivação e capacidade demonstrada para ataques destrutivos além do crime financeiro. Organizações de infraestrutura crítica brasileira (energia, telecomúnicações, financeiro) devem incluir cenários de wiper em seus planos de resposta a incidentes e disaster recovery. ## Detecção - Monitorar acesso de escrita direto ao MBR/VBR (setor 0 do disco) por processos não relacionados a ferramentas de recuperação ([[t1561-disk-content-wipe|T1561]]) - Detectar sobrescrita de arquivos em massa com padrão de escrita sequencial rápida - indica destruição ativa ([[t1485-data-destruction|T1485]]) - Alertar para instalação de serviços Windows com drivers de disco de baixo nível por processos incomuns ([[t1543-003-windows-service|T1543.003]]) - Monitorar propagação lateral via SMB porta 445 de um mesmo processo para múltiplos hosts - padrão de distribuição do wiper - **Controle mais eficaz:** backups offline imutáveis testados regularmente - única mitigação efetiva contra destruição de dados irreversível ## Referências - [1](https://attack.mitre.org/software/S0186) MITRE ATT&CK - S0186 Destover (2024) - [2](https://www.mandiant.com/resources/blog/update-to-the-sony-breach) Mandiant - Updaté to the Sony Breach: Attribution and Technical Analysis (2015) - [3](https://www.us-cert.gov/ncas/alerts/aa14-353a) US-CERT - Alert AA14-353A Destructive Malware (2014) - [4](https://www.crowdstrike.com/blog/destructive-cyber-attacks-on-sony/) CrowdStrike - Destructive Cyber Attacks on Sony (2014) - [5](https://attack.mitre.org/groups/G0032) MITRE ATT&CK - G0032 Lazarus Group (2024)