# HiddenSoul > Tipo: **ransomware** · [Referência de pesquisa] ## Descrição [[hiddensoul|HiddenSoul]] é um ransomware identificado em 2022 que criptografa arquivos de vítimas em sistemas Windows. O malware segue o padrão operacional típico de ransomware moderno: descoberta de arquivos e diretórios no sistema comprometido, criptografia de arquivos com extensões específicas, inibição de mecanismos de recuperação do sistema (exclusão de shadow copies via comandos Windows) e exibição de nota de resgaté. Embora menos proeminente que operações de grande escala como [[lockbit-ransomware|LockBit]] ou [[blackcat|BlackCat]], o HiddenSoul representa o padrão de ransomware de médio alcance usado em ataques oportunistas. O HiddenSoul usa shell de comando Windows para execução de comandos de sistema, incluindo a desabilitação de serviços de recuperação e a exclusão de backups de shadow copy - técnicas padrão do ecossistema de ransomware que maximizam o impacto ao eliminar opções de restauração sem pagamento de resgaté. A descoberta de arquivos antes da criptografia permite ao malware focar em tipos de arquivo de alto valor (documentos, bancos de dados, planilhas) enquanto evita arquivos do sistema operacional necessários para o ransom note ser exibido. Ransomwares como o HiddenSoul frequentemente são desenvolvidos como ferramentas personalizadas por grupos menores que não têm acesso ao modelo RaaS (Ransomware-as-a-Service) dos grandes cartéis. Isso os torna mais difíceis de rastrear e atribuir, mas geralmente menos sofisticados em termos de evasão de defesas que os grandes operadores. O modelo de ataque tipicamente envolve acesso inicial via RDP exposto, phishing ou exploração de vulnerabilidades em serviços expostos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção A detecção de ransomware como o HiddenSoul deve ser multicamada. Monitoramento de volume de operações de escrita/renomeação de arquivos em alta velocidade é um indicador comportamental crítico - soluções EDR que detectam criptografia em massa são eficazes. Alertas para execução de `vssadmin.exe delete shadows` ou comandos equivalentes via `wmic` e `bcdedit` detectam a fase de eliminação de backups. Honeypots de arquivo (arquivos de isca em locais monitorados) podem detectar o início da criptografia antes que o dano sejá extenso. ## Relevância LATAM/Brasil O ransomware de médio alcance como o HiddenSoul é altamente relevante para o Brasil, onde PMEs (Pequenas e Médias Empresas) com posturas de segurança mais fracas são alvos frequentes. A combinação de baixa maturidade de backup e alto valor de dados empresariais torna o impacto do ransomware particularmente severo no mercado brasileiro. O setor de saúde, educação e serviços jurídicos são especialmente vulneráveis. Estrategias de backup 3-2-1 (3 cópias, 2 mídias diferentes, 1 offsite) e resposta a incidentes preparada são as mitigações fundamentais. ## Referências - [MITRE ATT&CK - T1486 (Data Encrypted for Impact)](https://attack.mitre.org/techniques/T1486/)