s0400-robbinhood - RunkIntel

# RobbinHood > Tipo: **malware** · S0400 · [MITRE ATT&CK](https://attack.mitre.org/software/S0400) ## Descrição [[s0400-robbinhood|RobbinHood]] é um ransomware observado pela primeira vez em um ataque de alto impacto contra a rede de computadores da prefeitura de Baltimore, em maio de 2019, causando a paralisação de serviços municipais por semanas e prejuízos estimados em mais de 18 milhões de dólares. O malware é distribuído manualmente pelos operadores após o comprometimento inicial da rede - ao contrário de ransomwares autopropagáveis - , exigindo acesso privilegiado prévio para sua implantação. Uma característica técnica notável do [[s0400-robbinhood|RobbinHood]] é o uso de um driver de kernel vulnerável e legítimo (técnica BYOVD - Bring Your Own Vulnerable Driver) para desabilitar soluções de segurança e encerrar processos antes de iniciar a criptografia. O malware remove compartilhamentos de rede, desabilita serviços do Windows e apaga cópias de sombra (VSS) para impedir a recuperação de dados, tornando a restauração sem pagamento de resgaté extremamente difícil. A criptografia é executada via [[t1486-data-encrypted-for-impact|T1486]], utilizando algoritmos RSA para proteger a chave simétrica e garantindo que apenas os operadores possam descriptografar os arquivos. Embora não hajá atribuição definitiva a um grupo específico, o perfil operacional aponta para um ator com alta capacidade técnica e foco em alvos de alto valor no setor público. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1070-005-network-share-connection-removal|T1070.005 - Network Share Connection Removal]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] ## Detecção - Monitorar criação ou modificação de drivers de kernel não assinados ou vulneráveis conhecidos (técnica BYOVD) - Alertar sobre encerramento em massa de serviços do Windows em curto período de tempo - Detectar deleção em massa de Volume Shadow Copies via `vssadmin`, `wmic` ou `bcdedit` - Monitorar remoção de compartilhamentos de rede via linha de comando - Correlacionar eventos de parada de serviços de segurança (AV, EDR) com atividade subsequente de criptografia de arquivos ## Relevância LATAM/Brasil O modelo operacional do [[s0400-robbinhood|RobbinHood]] - implantação manual após acesso inicial, foco em governos e infraestrutura pública - é altamente relevante para o contexto brasileiro. Municípios e prefeituras brasileiras frequentemente operam com recursos limitados de segurança cibernética, tornando-os alvos atraentes para ransomwares com perfil similar. Incidentes contra prefeituras e órgãos públicos estaduais no Brasil seguiram padrão operacional semelhante ao observado em Baltimore, reforçando a necessidade de proteção específica para o setor público da região. ## Referências - [MITRE ATT&CK - S0400](https://attack.mitre.org/software/S0400)