# LockerGoga > Tipo: **malware** · S0372 · [MITRE ATT&CK](https://attack.mitre.org/software/S0372) ## Descrição [[s0372-lockergoga|LockerGoga]] é um ransomware reportado pela primeira vez em janeiro de 2019, amplamente conhecido pelo ataque devastador à Norsk Hydro, gigante norueguesa do alumínio, em março de 2019. O ataque à Norsk Hydro causou danos estimados em mais de 70 milhões de dólares e forçou operações manuais em plantas industriais em múltiplos países. O [[s0372-lockergoga|LockerGoga]] também foi usado contra a Momentive e a Hexion, ambas empresas químicas norte-americanas, no mesmo período. O [[s0372-lockergoga|LockerGoga]] distingue-se de outros ransomwares por não incluir mecanismo de propagação autônoma - dependendo do acesso inicial ser fornecido por outros componentes do ataque, incluindo ferramentas de gerenciamento como o [[meterpreter|Meterpreter]]. O malware desabilita ferramentas de segurança antes da criptografia ([[t1562-001-disable-or-modify-tools|T1562.001]]) e assina o binário com certificados roubados ([[t1553-002-code-signing|T1553.002]]) para parecer legítimo. Após a criptografia via [[t1486-data-encrypted-for-impact|T1486]], o malware remove contas de usuário e revoga senhas ([[t1531-account-access-removal|T1531]]), bloqueando efetivamente o acesso dos administradores ao sistema. O encerramento do sistema ([[t1529-system-shutdownreboot|T1529]]) é utilizado para completar o impacto. A atribuição à [[g0037-fin6|FIN6]] foi proposta com base em sobreposição de TTPs, incluindo o uso de ferramentas como Cobalt Strike e Ryuk em operações relacionadas. No entanto, a atribuição permanece objeto de debaté entre pesquisadores. O [[s0372-lockergoga|LockerGoga]] representa um caso pioneiro de ransomware altamente destrutivo contra infraestrutura industrial crítica, categoria que viria a proliferar nos anos seguintes. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1531-account-access-removal|T1531 - Account Access Removal]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] ## Grupos que Usam - [[g0037-fin6|FIN6]] ## Detecção - **[[ds-0022-file|File Creation]]** - Monitorar criação de arquivos com extensões incomuns (`.locked`) em volumes de rede e locais simultaneamente, indicativo de propagação lateral de ransomware como o LockerGoga. - **[[ds-0009-process|Process Creation]]** - Detectar execução de processos que alteram senhas de usuários em massa via `net user` ou APIs do Active Directory - técnica de lockout pós-criptografia do LockerGoga. - **[[ds-0030-instance|Service Stop]]** - Alertar para parada em massa de serviços via `net stop` ou desabilitação de serviços críticos, típico do LockerGoga antes da criptografia. ```sigma title: LockerGoga Mass User Lockout Activity status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\net.exe' CommandLine|contains: - 'user' - '/passwordreq:yes' timeframe: 30s condition: selection | count() > 10 falsepositives: - Bulk password reset by IT administrators level: critical tags: - attack.impact - attack.t1531 - code/distill ``` ## Relevância LATAM/Brasil O [[s0372-lockergoga|LockerGoga]] representa a categoria de ransomware destrutivo focado em infraestrutura industrial (ICS/OT), um vetor de crescente preocupação para o Brasil. Empresas do setor de manufatura, energia e utilities brasileiras enfrentam risco semelhante ao sofrido pela Norsk Hydro, especialmente aquelas com redes OT conectadas a redes corporativas sem segmentação adequada. ## Referências - [MITRE ATT&CK - S0372](https://attack.mitre.org/software/S0372)