# Egregor > Tipo: **ransomware (RaaS)** · S0554 · [MITRE ATT&CK](https://attack.mitre.org/software/S0554) ## Attack Flow ```mermaid graph TB A["🎯 Acesso inicial<br/>Credenciais RDP/VPN<br/>QakBot ou IcedID loader"] --> B["🔧 Lateral movement<br/>Cobalt Strike beacon<br/>Sharphound + AdFind AD recon"] B --> C["📂 Exfiltração previa<br/>Rclone disfarcado de svchost<br/>50+ GB upload T1039"] C --> D["🔐 Payload Egregor<br/>Chacha20 + RSA cifra<br/>Payload custom-packed T1027.002"] D --> E["📜 Nota de resgaté<br/>RECOVER-FILES.txt<br/>Impressao em todas as impressoras"] classDef access fill:#e74c3c,color:#fff classDef lateral fill:#e67e22,color:#fff classDef exfil fill:#3498db,color:#fff classDef encrypt fill:#27ae60,color:#fff classDef extort fill:#9b59b6,color:#fff class A access class B lateral class C exfil class D encrypt class E extort ``` ## Descrição [[s0554-egregor|Egregor]] e uma ferramenta de Ransomware-as-a-Service (RaaS) observada pela primeira vez em setembro de 2020, surgindo imediatamente após o encerramento das operações do ransomware [[s0449-maze|Maze]] - do qual herdou código e o modelo de dupla extorsao. Pesquisadores identificaram sobreposicoes de código entre o [[s0554-egregor|Egregor]] e os ransomwares Sekhmet e [[s0449-maze|Maze]], indicando codebase compartilhado ou evolução direta. Em apenas cinco meses de operação (setembro 2020 a fevereiro 2021), o Egregor vitimou dezenas de organizacoes de alto perfil, incluindo Ubisoft, Barnes & Noble e Randstad, demonstrando uma cadencia de ataque agressiva caracteristica do modelo RaaS com afiliados altamente qualificados. A particularidade técnica mais notavel do [[s0554-egregor|Egregor]] e sua resistencia extrema a análise estática: o payload principal e cifrado customizado, sendo descriptografado apenas em memoria durante execução ([[t1140-deobfuscatedecode-files-or-information|T1140]]). A chave de descriptografia do payload e fornecida como argumento de linha de comando - o que significa que amostras capturadas sem a chave sao completamente opacas para analistas. Multiplas verificacoes anti-sandbox baseadas em tempo ([[t1497-003-time-based-checks|T1497.003]]) e detecao de virtualizacao impedem execução em ambientes de análise automatizada. O DLL side-loading via Rundll32 e BITS Jobs ([[t1197-bits-jobs|T1197]]) para persistência completam o perfil de evasão. O modelo operacional do [[s0554-egregor|Egregor]] envolvia afiliados com acesso a Cobalt Strike para lateral movement - a tipica cadeia era QakBot ou IcedID para acesso inicial, Cobalt Strike para reconhecimento e movimento lateral com Sharphound/AdFind para mapeamento do Active Directory, seguido de exfiltração massiva via Rclone disfarado de svchost ([[t1036-004-masquerade-task-or-service|T1036.004]]), e finalmente o deploy do ransomware que cifrava arquivos com Chacha20 e protegia a chave de sessao com RSA. A impressao automatica da nota de resgaté em todas as impressoras do ambiente - uma tactia intimidatoria única - tornava o ataque visivelmente dramatico para funcionarios e gestores. **Plataformas:** Windows ## Cronologia de Ataques Notaveis ```mermaid timeline title Egregor - Cronologia Rapida (2020-2021) Setembro 2020 : Primeiras amostras identificadas Outubro 2020 : Ubisoft - dados de jogo vazados Outubro 2020 : Barnes and Noble - dados de clientes Novembro 2020 : Empresa logistica europeia - 5 dias dwell time Dezembro 2020 : Randstad RH global Fevereiro 2021 : Operação conjunta Franca-Ucrania - prisoes ``` ## Técnicas Utilizadas - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1197-bits-jobs|T1197 - BITS Jobs]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1039-data-from-network-shared-drive|T1039 - Data from Network Shared Drive]] - [[t1106-native-api|T1106 - Native API]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1497-virtualizationsandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] ## Detecao A detecao do [[s0554-egregor|Egregor]] - e de familias RaaS similares - foca na cadeia de pre-ransomware: detectar QakBot/IcedID como access broker inicial e Cobalt Strike beacon como indicador de lateralizacao. Monitorar execução de Rundll32 com argumentos suspeitos ([[t1218-011-rundll32|T1218.011]]) e uso de BITSadmin para downloads ([[t1197-bits-jobs|T1197]]). Alertar para uploads de dados em grande volume para endpoints externos nao reconhecidos antes da criptografia - o Rclone disfarcado como svchost e detectavel por EDR comparando nome de processo com path do executavel. Verificar integridade de GPOs - o Egregor modificava politicas de grupo para propagar o payload ([[t1484-001-domain-or-tenant-policy-modification|T1484.001]]). Regras Sigma para detecao de impressao em massa de arquivos de texto (`RECOVER-FILES.txt`) em múltiplas impressoras simultaneamente sao eficazes como indicador de pos-comprometimento. ## Relevância LATAM/Brasil O [[s0554-egregor|Egregor]] e sua genealogia [[s0449-maze|Maze]] estabeleceram o padrao de dupla extorsao que hoje e o modelo dominante em todos os ataques de ransomware registrados no Brasil. Grupos de ransomware que operam ativamente contra organizacoes brasileiras - incluindo [[lockbit-ransomware|LockBit]], [[s1212-ransomhub|RansomHub]] e outros - utilizam exatamente o playbook pionerado pelo Egregor: acesso via credentials comprometidas, lateral movement via Cobalt Strike, exfiltração via Rclone, e criptografia com Chacha20/AES. Organizacoes brasileiras nos setores de logistica, varejo, entretenimento e manufatura - todos setores vitimados pelo Egregor - sao igualmente alvos de seus sucessores operacionais. ## Referências - [1](https://attack.mitre.org/software/S0554/) MITRE ATT&CK - Egregor S0554 - [2](https://www.huntress.com/threat-library/threat-actors/egregor) Huntress - Egregor Threat Actor Profile (2025) - [3](https://www.darktrace.com/blog/egregor-ransomware-gone-but-not-forgotten) Darktrace - Egregor Ransomware: Gone But Not Forgotten (2021)