# FIVEHANDS > Tipo: **ransomware** · S0618 · [MITRE ATT&CK](https://attack.mitre.org/software/S0618) ## Descrição [[s0618-fivehands|FIVEHANDS]] é uma versão customizada do ransomware [[s0616-deathransom|DEATHRANSOM]] escrita em C++, detectada pela primeira vez em campanhas de 2021. Funciona sob o modelo Ransomware-as-a-Service (RaaS), sendo frequentemente implantado em conjunto com o backdoor [[s0615-sombrat|SombRAT]], que fornece acesso remoto persistente antes da execução do payload de criptografia. O ransomware é distribuído principalmente através de exploração de vulnerabilidades em VPNs expostas à internet, notadamente falhas no Pulse Secure VPN. Após comprometer o ambiente, o [[s0618-fivehands|FIVEHANDS]] realiza reconhecimento extensivo usando [[t1047-windows-management-instrumentation|WMI]] e [[t1135-network-share-discovery|enumeração de compartilhamentos de rede]] antes de iniciar a criptografia. O malware utiliza [[t1490-inhibit-system-recovery|técnicas para inibir a recuperação do sistema]], apagando cópias de sombra (VSS) e desabilitando backups automáticos do Windows, maximizando o impacto da criptografia. O código é ofuscado com múltiplas camadas de codificação para dificultar a análise estática por ferramentas de segurança. Em termos de capacidades técnicas, o FIVEHANDS emprega criptografia híbrida - utilizando chaves assimétricas para proteger as chaves de sessão simétricas - tornando a recuperação sem pagamento do resgaté práticamente impossível sem a chave privada do operador. O malware se diferencia do DEATHRANSOM original pelo uso de código-fonte substancialmente reescrito e por melhorias nas técnicas de evasão. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] ## Detecção > [!tip] Indicadores de Detecção > - Monitorar execução de comandos WMI para descoberta de compartilhamentos de rede em ambientes não-administrativos > - Alertar sobre exclusão de Volume Shadow Copies via `vssadmin delete shadows` ou `wmic shadowcopy delete` > - Detectar binários C++ com alta entropia (indicativo de código empacotado/ofuscado) > - Monitorar tráfego de saída incomum após exploração de dispositivos VPN (especialmente Pulse Secure) > - Correlacionar presença de [[s0615-sombrat|SombRAT]] como precursor de implantação do FIVEHANDS ## Relevância LATAM/Brasil O FIVEHANDS opera sob o modelo RaaS, o que significa que qualquer operador afiliado pode adquirir o ransomware e conduzir ataques de forma independente. Embora as campanhas documentadas públicamente sejam focadas em alvos norte-americanos e europeus, o modelo RaaS facilita a expansão para a América Latina, onde o setor de saúde, manufatura e serviços financeiros são alvos recorrentes de grupos de ransomware. Organizações brasileiras que utilizam soluções VPN legadas - especialmente Pulse Secure - devem priorizar aplicação de patches. A correlação entre FIVEHANDS e [[s0615-sombrat|SombRAT]] indica que campanhas podem persistir silenciosamente por semanas antes da implantação do ransomware. ## Referências - [MITRE ATT&CK - S0618](https://attack.mitre.org/software/S0618)