# Seth-Locker > Tipo: **malware** · S0639 · [MITRE ATT&CK](https://attack.mitre.org/software/S0639) ## Descrição [[s0639-seth-locker|Seth-Locker]] é um ransomware com algumas capacidades de controle remoto, em uso desde pelo menos 2021. Diferente de ransomwares corporativos altamente sofisticados como Ryuk ou LockBit, o Seth-Locker representa a categoria de ransomwares de menor sofisticação técnica - frequentemente vendidos ou disponibilizados em fóruns criminais como Ransomware-as-a-Service (RaaS) para operadores com capacidades técnicas limitadas. Apesar da menor complexidade, esses ransomwares podem causar danos significativos a organizações de pequeno e médio porte que carecem de proteção adequada. O [[s0639-seth-locker|Seth-Locker]] combina funcionalidades básicas de ransomware - criptografia de arquivos via [[t1486-data-encrypted-for-impact|T1486]] - com capacidades limitadas de controle remoto, permitindo que os operadores interajam com sistemas comprometidos para verificar o status da infecção ou executar comandos adicionais. A entrega de payloads adicionais via [[t1105-ingress-tool-transfer|T1105]] sugere que o malware pode ser usado como parte de uma cadeia de ataque mais ampla, baixando ferramentas complementares após o comprometimento inicial. A presença de capacidades de controle remoto em um ransomware é uma característica que aponta para uma evolução no design: os operadores precisam de acesso ao sistema para confirmar o sucesso da criptografia, negociar com as vítimas, ou exfiltrar dados sensíveis como leverage adicional (modelo de dupla extorsão). Mesmo ransomwares menos sofisticados como o Seth-Locker seguem essa tendência, tornando a separação entre ransomware e spyware cada vez mais tênue. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] ## Detecção - Monitorar criptografia em massa de arquivos por processos não reconhecidos como legítimos - Detectar download de executáveis ou scripts por processos incomuns via HTTP/HTTPS - Implementar honeypots de arquivos em diretórios compartilhados para detecção precoce de ransomware - Alertar sobre modificação em massa de extensões de arquivos (padrão típico de ransomware) - Manter backups offline e testar regularmente a capacidade de restauração para minimizar impacto de ransomware ## Relevância LATAM/Brasil Ransomwares de menor sofisticação como o [[s0639-seth-locker|Seth-Locker]] são frequentemente os que mais afetam pequenas e médias empresas brasileiras, que representam a maioria do tecido empresarial do país. A menor barreira de entrada para operar esse tipo de ransomware significa que grupos de criminosos locais com menos capacidade técnica podem utilizá-lo efetivamente, amplificando o número de potenciais operadores. PMEs brasileiras devem priorizar backups offline e segmentação de rede como defesas de alto custo-benefício contra essa categoria de ameaça. ## Referências - [MITRE ATT&CK - S0639](https://attack.mitre.org/software/S0639)