# Globe Ransomware > Tipo: **ransomware** · [ID Ransomware](https://id-ransomware.malwarehunterteam.com/) ## Descrição [[globe-ransomware|Globe Ransomware]] é uma família de ransomware que surgiu em 2016 e deu origem a múltiplas variantes ao longo dos anos, incluindo o GlobeImposter - uma versão separada que falsamente imita a identidade do Globe original para confundir pesquisadores e vítimas. O Globe original utiliza uma combinação de criptografia BlowFish e RC4 para cifrar arquivos, acrescentando extensões características como `.purge`, `.globe`, `.raid10` e outras variantes. O malware tem como principal vetor de distribuição o RDP (Remote Desktop Protocol) comprometido e e-mails de phishing com anexos maliciosos. O [[globe-ransomware|Globe Ransomware]] implementa técnicas padrão de ransomware: enumera drives locais e compartilhamentos de rede, cifra arquivos com extensões configuradas, deleta backups e cópias de sombra do Windows, e deposita notas de resgaté em formato HTML ou TXT em cada diretório afetado. Versões mais recentes incluem técnicas de evasão de sandbox e verificações para evitar execução em ambientes de análise. O resgaté é cobrado em Bitcoin, com instruções detalhadas para compra da criptomoeda e contato com os operadores. O [[globe-ransomware|GlobeImposter]], variante que imita o Globe original, tornou-se especialmente prevalente em campanhas contra hospitais e organizações de saúde, resultando em impactos operacionais severos. Em alguns países, decryptors gratuitos foram disponibilizados pelas empresas de segurança para variantes específicas cujos algoritmoss de criptografia apresentavam fraquezas, mas versões mais recentes corrigiram estas falhas tornando a recuperação sem pagamento impossível. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Detecção > [!tip] Indicadores de Detecção > - Proteger acesso RDP com MFA e geolimitação - principal vetor de entrega do Globe > - Monitorar exclusão de Volume Shadow Copies como indicador crítico de ransomware em execução > - Detectar processos que enumeram compartilhamentos de rede e cifram arquivos em múltiplos diretórios simultaneamente > - Implementar honeypot files em compartilhamentos de rede para detecção precoce de atividade de ransomware > - Verificar extensões de arquivo incomuns (.purge, .globe, .raid10) como indicadores de comprometimento ## Relevância LATAM/Brasil O [[globe-ransomware|Globe Ransomware]] e especialmente o GlobeImposter têm sido identificados em ataques a hospitais e clínicas no Brasil e na América Latina. O setor de saúde brasileiro, com infraestrutura de TI frequentemente desatualizada e acesso RDP exposto, é particularmente vulnerável. O CERT.br documentou incidentes de ransomware semelhantes em hospitais de médio porte que dependem de RDP para acesso remoto de suporte técnico. A proliferação do modelo de ransomware como serviço torna o Globe e suas variantes acessíveis a operadores locais, aumentando o risco para organizações brasileiras de todos os portes. ## Referências - [Emisoft - Globe Decryptor](https://www.emsisoft.com/ransomware-decryption-tools/globe) - [CERT.br - Ransomware](https://www.cert.br/docs/whitepapers/ransomware/)