robbinhood-ransomware

# RobbinHood Ransomware > Tipo: **ransomware** - S0400 - ataque devastador a Baltimore 2019 - para 181 serviços Windows > [!critical] Ransomware que Paralisou Baltimore por 35 Dias - Maio 2019 > **RobbinHood** é um ransomware que ganhou notoriedade ao paralisar os sistemas da cidade de **Baltimore, Maryland** em maio de 2019, causando mais de **18 milhões de dólares em danos** e interrompendo serviços municipais por 35 dias. O MITRE rastreia como **S0400**. Diferencia-se por parar **181 serviços Windows** e excluir shadow copies antes de cifrar arquivos com RSA-4096, tornando a recuperação sem pagamento práticamente impossível. ## Visão Geral [[robbinhood-ransomware|RobbinHood]] é um ransomware direcionado a organizações - específicamente governos municipais e corporações - descoberto em abril de 2019. O malware ficou amplamente conhecido após dois ataques de alto perfil a municípios americanos: **Greenville, Carolina do Norte** em abril de 2019 e **Baltimore, Maryland** em maio de 2019. O ataque a Baltimore paralisou sistemas municipais por mais de cinco semanas, impedindo pagamentos de impostos, licenças de negócios e transações imobiliárias, e custou à cidade mais de 18 milhões de dólares. O [[robbinhood-ransomware|RobbinHood]] é escrito em Go (Golang) e se distingue de ransomwares mais simples por sua **métodologia agressiva de preparação pré-cifração**. Antes de iniciar a cifragem, o malware executa uma série de comandos para desativar ferramentas de segurança, parar serviços críticos do sistema e eliminar qualquer mecanismo de recuperação - incluindo shadow copies e pontos de restauração. Isso maximiza o impacto do ataque e minimiza as chances de recuperação sem pagamento do resgaté. O vetor de acesso inicial típico para o RobbinHood é **acesso remoto via RDP ou VPN comprometidos** - o grupo por trás do ransomware obtém acesso inicial via credenciais roubadas ou força bruta, navega lateralmente pela rede antes de implantar o ransomware nos sistemas críticos. A criptografia utiliza **RSA-4096** para proteger a chave de sessão, tornando matematicamente inviável a quebra da criptografia sem a chave do atacante. O resgaté exigido em Baltimore foi de 13 bitcoins (aproximadamente 76.000 dólares na época), mas a cidade recusou pagar. **Plataformas:** Windows ## Como Funciona 1. **Acesso inicial:** Os atacantes obtêm acesso via RDP ou VPN comprometido, frequentemente usando credenciais roubadas ou força bruta ([[t1082-system-information-discovery|T1082]]). 2. **Reconhecimento e movimento lateral:** Mapeiam a rede, identificam sistemas críticos e se movem lateralmente para maximizar o impacto do ataque ([[t1057-process-discovery|T1057]], [[t1083-file-and-directory-discovery|T1083]]). 3. **Preparação pré-cifração:** O RobbinHood executa 181 comandos para parar serviços Windows ([[t1489-service-stop|T1489]]) - incluindo antivírus, backup e bancos de dados - e desabilita ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]). 4. **Remoção de recuperação:** Elimina shadow copies e pontos de restauração do sistema ([[t1490-inhibit-system-recovery|T1490]]) para impossibilitar recuperação sem pagamento. 5. **Cifragem RSA-4096:** Cifra arquivos em todos os diretórios descobertos ([[t1486-data-encrypted-for-impact|T1486]]), adiciona extensão `.Robbin` ou similar e deposita nota de resgaté em cada pasta. ```mermaid graph TB A["Acesso RDP ou VPN Credenciais comprometidas Acesso inicial remoto"] --> B["Reconhecimento Mapeamento de rede T1082 + T1057 + T1083"] B --> C["Movimento Lateral Sistemas críticos identificados Implantação do ransomware"] C --> D["Stop 181 Serviços AV + backup + DB parados T1489 - Preparação total"] D --> E["Desativa Segurança Ferramentas de defesa T1562.001 - Blind defenders"] E --> F["Remove Recuperação Shadow copies eliminadas T1490 - Sem backup"] F --> G["Cifragem RSA-4096 Extensão Robbin T1486 - Impacto total"] classDef access fill:#c0392b,color:#fff classDef recon fill:#d35400,color:#fff classDef lateral fill:#8e44ad,color:#fff classDef stop fill:#2980b9,color:#fff classDef disable fill:#16a085,color:#fff classDef recovery fill:#e67e22,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A access class B recon class C lateral class D stop class E disable class F recovery class G encrypt ``` ## Timeline ```mermaid timeline title RobbinHood - Ataques e Impacto Abr 2019 : Ataque a Greenville, Carolina do Norte : Primeiros sistemas municipais cifrados Mai 2019 : Ataque devastador a Baltimore, Maryland : 35 dias de sistemas municipais fora do ar Mai 2019 : 18 milhões USD em danos em Baltimore : Cidade recusa pagar resgaté de 76k USD 2019 : Análise técnica revela 181 serviços parados : RSA-4096 confirma recuperação impossível 2020 : Grupo por trás do RobbinHood não identificado : Ataques cessam - ransomware inativo ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Discovery | [[t1082-system-information-discovery\|T1082]] | Mapeamento do ambiente alvo | | Discovery | [[t1057-process-discovery\|T1057]] | Enumeração de processos ativos | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Mapeamento de diretórios para cifração | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | 181 comandos CMD para parar serviços | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de antivírus e backup | | Impact | [[t1489-service-stop\|T1489]] | Parada de 181 serviços Windows | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Eliminação de shadow copies | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem RSA-4096 de todos os arquivos | | Defense Evasion | [[t1070-005-network-share-connection-removal\|T1070.005]] | Remoção de compartilhamentos de rede | ## Relevância LATAM/Brasil Embora o [[robbinhood-ransomware|RobbinHood]] não tenha sido diretamente documentado em ataques a municípios brasileiros, sua métodologia e impacto são altamente relevantes como caso de estudo para governos municipais e estaduais no Brasil. O Brasil tem mais de 5.500 municípios - a grande maioria com infraestrutura de TI limitada, sistemas legados e exposição de RDP à internet - criando um perfil de risco similar ao de Baltimore. O ataque a Baltimore demonstra os **custos reais de um ataque de ransomware a governo local**: 18 milhões de dólares em danos para uma cidade de 600.000 habitantes, com impacto direto em serviços públicos como emissão de alvarás, pagamento de impostos e transações imobiliárias. Para o contexto brasileiro, o equivalente seria um ataque a uma prefeitura de médio porte - interrompendo serviços como emissão de notas fiscais eletrônicas, IPTU e registros de saúde. A técnica de parar 181 serviços do Windows antes da cifragem é adotada por variantes modernas de ransomware como [[lockbit-ransomware|LockBit]] e [[blackcat-ransomware|BlackCat]] que são ativos no Brasil. Organizações públicas brasileiras devem usar o caso Baltimore como referência para avaliar sua resiliência. **Setores impactados:** [[government|governo]] - administração municipal - serviços públicos - infraestrutura crítica ## Detecção - Monitorar execução em massa de comandos `net stop` ou `sc stop` por um único processo (parada em lote de serviços) - Alertar para exclusão de shadow copies via `vssadmin delete shadows /all /quiet` ou `wmic shadowcopy delete` - Detectar desativação de Windows Defender via `Set-MpPreference -DisableRealtimeMonitoring $true` - Monitorar acesso RDP de origens externas - especialmente fora do horário comercial ou de IPs não reconhecidos - Implementar backup offline (air-gapped) não acessível via credenciais de rede comprometidas - Alertar para criação massiva de arquivos com extensão desconhecida em curto período ## Referências - [1](https://attack.mitre.org/software/S0400/) MITRE ATT&CK - S0400 RobbinHood (2023) - [2](https://www.bleepingcomputer.com/news/security/baltimore-ransomware-attack-cost-18-2-million-and-35-days-to-recover/) BleepingComputer - Baltimore Ransomware Attack 18M Damage (2019) - [3](https://www.crowdstrike.com/blog/robbinhood-ransomware-analysis/) CrowdStrike - RobbinHood Ransomware Technical Analysis (2019) - [4](https://www.cybereason.com/blog/research/robbinhood-ransomware-analysis) Cybereason - RobbinHood Kills 181 Windows Services (2019) - [5](https://www.mandiant.com/resources/blog/ransomware-municipal-government-analysis) Mandiant - Ransomware Against Municipal Government (2020)