# Wiper > Tipo: **malware** · S0041 · [MITRE ATT&CK](https://attack.mitre.org/software/S0041) ## Descrição [[s0041-wiper|Wiper]] é uma família de malware destrutivo utilizada em março de 2013 durante os ataques denominados "Dark Seoul" ou "Operation Troy", que visaram bancos e empresas de mídia sul-coreanas. O malware foi implantado em múltiplos sistemas simultaneamente usando ferramentas de deployment de software, causando destruição generalizada de dados em organizações críticas da Coreia do Sul. O Wiper foi parte de uma série coordenada de ataques destrutivos contra a Coreia do Sul que incluiu também apagamento de dados de MBRs e arquivos críticos de sistema. A coordenação do ataque sugere envolvimento de um ator de ameaça com acesso prévio à infraestrutura das vítimas, possívelmente via comprometimento de sistemas de gerenciamento centralizado de software. O ataque causou interrupção significativa nas operações bancárias e de mídia sul-coreanas, com dezenas de milhares de sistemas afetados. Embora a atribuição definitiva não tenha sido públicada para a variante Wiper específica do MITRE ATT&CK S0041, os ataques Dark Seoul de 2013 foram posteriormente associados por pesquisadores a operações do [[g0032-lazarus-group|Lazarus Group]] com base em semelhanças de código e infraestrutura com outros ataques atribuídos à Coreia do Norte. Esta campanha foi um dos primeiros exemplos de uso coordenado de malware destrutivo contra infraestrutura civil por um ator estatal. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1072-software-deployment-tools|T1072 - Software Deployment Tools]] ## Detecção A detecção de malware destrutivo como o Wiper requer monitoramento de uso de ferramentas de software deployment para distribuir executáveis não aprovados, acesso de escrita a áreas protegidas do disco (MBR, setores de boot), e comportamento de sobrescrita ou deleção em massa de arquivos críticos de sistema. Soluções de backup offline e imutável são a principal mitigação para reduzir o impacto de ataques destrutivos. A implantação de Privileged Access Management (PAM) para sistemas de software deployment reduz o risco de abuso desses canais. ## Relevância LATAM/Brasil O modelo de ataque dos ataques Dark Seoul - uso de ferramentas legítimas de software deployment para distribuir malware destrutivo em massa - é um vetor de risco relevante para organizações brasileiras que dependem de ferramentas de gerenciamento centralizado de TI (SCCM, Ansible, etc.). Comprometimento desses sistemas pode resultar em impacto catastrófico coordenado. O [[g0032-lazarus-group|Lazarus Group]], possívelmente responsável por ataques similares, tem histórico de operações destrutivas e financeiras globais, incluindo alvos na América Latina. ## Referências - [MITRE ATT&CK - S0041](https://attack.mitre.org/software/S0041)