bitpaymer - RunkIntel

# BitPaymer > Tipo: **malware** · S0570 · [MITRE ATT&CK](https://attack.mitre.org/software/S0570) ## Descrição [[bitpaymer|BitPaymer]] é uma variante de ransomware observada pela primeira vez em agosto de 2017, visando hospitais no Reino Unido. [[bitpaymer|BitPaymer]] usa uma chave de criptografia, nota de resgaté e informações de contato exclusivas para cada operação. [[bitpaymer|BitPaymer]] possui vários indicadores que sugerem sobreposição com o malware [[s0384-dridex|Dridex]] e frequentemente é entregue por meio do [[s0384-dridex|Dridex]], atribuindo-o ao grupo [[g0119-indrik-spider|Indrik Spider]] (também conhecido como Evil Corp). O [[bitpaymer|BitPaymer]] realiza reconhecimento extensivo antes da criptografia, incluindo descoberta de sistemas remotos (T1018), compartilhamentos de rede (T1135) e serviços em execução (T1007). Para evasão, utiliza Execution Guardrails (T1480) - verificações de ambiente que impedem execução fora do alvo planejado - e NTFS File Attributes (T1564.004) para ocultar artefatos. O ransomware escala privilégios via Bypass de UAC (T1548.002) e impersonação de token (T1134.001) antes de iniciar a criptografia de arquivos (T1486) e desativar recuperação do sistema (T1490). O [[g0119-indrik-spider|Indrik Spider]] utilizou o [[bitpaymer|BitPaymer]] em ataques de alto perfil contra hospitais e municípios nos EUA, Europa e Austrália, tipicamente exigindo resgates de milhões de dólares. Em 2020, o grupo evoluiu para o [[wasteland-ware|WastedLocker]], mantendo padrões técnicos e operacionais similares. Sanções do OFAC dos EUA foram impostas contra membros do [[g0119-indrik-spider|Indrik Spider]] em 2019 pelo envolvimento com [[s0384-dridex|Dridex]] e [[bitpaymer|BitPaymer]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1222-001-windows-file-and-directory-permissions-modification|T1222.001 - Windows File and Directory Permissions Modification]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1134-001-token-impersonationtheft|T1134.001 - Token Impersonation/Theft]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] ## Grupos que Usam - [[g0119-indrik-spider|Indrik Spider]] ## Detecção - **Sysmon Event ID 1** (Process Creation): monitorar execução de `vssadmin.exe delete shadows` ou `wbadmin.exe delete catalog` como indicador de destruição de backups (T1490 - Inhibit System Recovery) - **Sysmon Event ID 11** (File Creaté): detectar criação em massa de arquivos com extensões incomuns em múltiplos diretórios como sinal de criptografia em andamento (T1486) - **EDR**: alertar em modificações de permissões NTFS (T1222.001) fora de contexto de instalação; monitorar tentativas de Bypass de UAC via modificação de chaves de registro conhecidas (T1548.002) - **Referência Sigma**: `win_shadow_copies_deletion.yml` (Sigma HQ) para detecção de deleção de shadow copies - indicador clássico de ransomware ## Relevância LATAM/Brasil O [[bitpaymer|BitPaymer]] e seu sucessor [[wasteland-ware|WastedLocker]] afetaram organizações globais, incluindo empresas na América Latina com operações na Europa e América do Norte. O modelo operacional do [[g0119-indrik-spider|Indrik Spider]] - acesso inicial via [[s0384-dridex|Dridex]], movimentação lateral manual e implantação de ransomware direcionado - é amplamente replicado por grupos de ransomware que atacam o Brasil. As TTPs documentadas no [[bitpaymer|BitPaymer]] servem como referência para defenders brasileiros identificarem precursores de ransomware em suas redes. ## Referências - [MITRE ATT&CK - S0570](https://attack.mitre.org/software/S0570)