# WastedLocker > Tipo: **malware** · S0612 · [MITRE ATT&CK](https://attack.mitre.org/software/S0612) ## Descrição [[s0612-wastedlocker|WastedLocker]] é uma família de ransomware atribuída ao [[g0119-indrik-spider|Indrik Spider]] (Evil Corp), grupo criminoso russo sancionado pelo Departamento do Tesouro dos EUA, em uso desde pelo menos maio de 2020. O malware foi utilizado em ataques altamente direcionados contra uma ampla variedade de setores, incluindo manufatura, tecnologia da informação e mídia, com resgates exigidos frequentemente na casa dos milhões de dólares. Do ponto de vista técnico, o WastedLocker é um ransomware sofisticado que utiliza DLL hijacking para execução, bypass de UAC para escalação de privilégios, e criptografia AES combinada com RSA para cifrar arquivos. O malware desabilita recuperação do sistema (Volume Shadow Copies, System Restore), oculta arquivos e usa NTFS Alternaté Data Streams para armazenar componentes maliciosos. A inserção de código lixo (junk code insertion) dificulta a análise estática por pesquisadores de segurança. O [[g0119-indrik-spider|Indrik Spider]] é o mesmo grupo responsável pelo malware Dridex e operações de ransomware BitPaymer, demonstrando uma trajetória de evolução de cibercrime financeiro para ransomware direcionado altamente lucrativo. As sanções do OFAC sobre o Indrik Spider criaram complicações legais para vítimas que considerassem pagar o resgaté, tornando a prevenção e recuperação sem pagamento ainda mais críticas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1027-016-junk-code-insertion|T1027.016 - Junk Code Insertion]] - [[t1120-peripheral-device-discovery|T1120 - Peripheral Device Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] ## Grupos que Usam - [[g0119-indrik-spider|Indrik Spider]] ## Detecção A detecção do WastedLocker deve focar em comportamentos característicos de ransomware: acesso massivo a arquivos seguido de renomeação, tentativas de deleção de Volume Shadow Copies (vssadmin, wmic), bypass de UAC por processos incomuns e DLL hijacking. Soluções de EDR com análise comportamental de criptografia de arquivos são as mais eficazes para detectar ransomware antes que cause danos extensos. Backups offline e imutáveis são a mitigação mais importante para reduzir o impacto de um ataque bem-sucedido. ## Relevância LATAM/Brasil O [[g0119-indrik-spider|Indrik Spider]] e ransomwares similares de alto impacto representam uma ameaça crescente para empresas brasileiras, especialmente dos setores de manufatura, tecnologia e saúde - setores com menor tolerância a downtime. O Brasil é consistentemente um dos países mais afetados por ransomware na América Latina. A natureza altamente direcionada do WastedLocker, com resgates na casa dos milhões, o torna uma ameaça prioritária para grandes corporações brasileiras com alta capacidade de pagamento percebida pelo atacante. ## Referências - [MITRE ATT&CK - S0612](https://attack.mitre.org/software/S0612)