# DEATHRANSOM > Tipo: **malware** · S0616 · [MITRE ATT&CK](https://attack.mitre.org/software/S0616) ## Descrição [[s0616-deathransom|DEATHRANSOM]] é um ransomware escrito em C utilizado desde pelo menos 2020, com sobreposição potencial com o [[s0618-fivehands|FIVEHANDS]] e o [[hellokitty|HELLOKITTY]]. Documentado por pesquisadores da Mandiant e FireEye, o DEATHRANSOM foi inicialmente identificado como ransomware de baixa qualidade sem criptografia real, mas versões subsequentes implementaram criptografia funcional, indicando evolução ativa do código-base ou múltiplos desenvolvedores utilizando o mesmo nome. O [[s0616-deathransom|DEATHRANSOM]] realiza varredura de compartilhamentos de rede e dispositivos conectados antes de iniciar a rotina de criptografia, maximizando o impacto do ataque. O malware verifica o idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) para evitar infectar sistemas em países específicos - técnica comum em ransomware de origem dos países da ex-URSS. A exfiltração de dados antes da criptografia via HTTP e a capacidade de inibir recuperação do sistema (deleção de shadow copies) via WMI são características documentadas. A relação com [[s0618-fivehands|FIVEHANDS]] e [[hellokitty|HELLOKITTY]] sugere uma cadeia de suprimentos de código malicioso, onde famílias de ransomware compartilham componentes ou são desenvolvidas pelo mesmo ator de ameaça. Esse padrão de reutilização de código é comum no ecossistema de ransomware como serviço (RaaS), onde diferentes grupos afiliados customizam bases de código comuns para suas operações específicas. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1614-001-system-language-discovery|T1614.001 - System Language Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] ## Detecção - Monitorar criptografia em massa de arquivos em múltiplos diretórios - indicador principal de ransomware ([[t1486-data-encrypted-for-impact|T1486]]) - Detectar exclusão de Volume Shadow Copies via WMI ([[t1047-windows-management-instrumentation|T1047]], [[t1490-inhibit-system-recovery|T1490]]) - Alertar sobre varreduras de compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]) - Monitorar execução de processos que consultam configurações de idioma do sistema ([[t1614-001-system-language-discovery|T1614.001]]) - Implementar alertas de honeypot de arquivo para detecção precoce de criptografia não autorizada ## Relevância LATAM/Brasil O [[s0616-deathransom|DEATHRANSOM]] e famílias relacionadas ([[s0618-fivehands|FIVEHANDS]], [[hellokitty|HELLOKITTY]]) representam ameaças concretas ao Brasil: o setor de saúde, manufatura e governo brasileiro foram alvo de campanhas de ransomware com TTPs e código similares. A verificação de idioma para exclusão de vítimas (comum em ransomware RU/leste-europeu) não inclui português do Brasil, tornando organizações brasileiras alvos potenciais sem proteção embutida. A capacidade de criptografar compartilhamentos de rede é especialmente impactante em organizações brasileiras com ambientes de arquivo compartilhado. ## Referências - [MITRE ATT&CK - S0616](https://attack.mitre.org/software/S0616) - [Mandiant - DEATHRANSOM Family](https://www.mandiant.com/resources/blog/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat)