# DCSrv > [!high] Pseudo-ransomware destrutivo do Moses Staff - criptografa sem oferecer descriptografia para maximizar dano > DCSrv é um malware destrutivo usado pelo **Moses Staff**, grupo hacktivista iraniano, desde setembro de 2021 contra organizações israelenses. Apesar de criptografar dados como ransomware, não oferece chave de descriptografia - o objetivo é destruição e disrupção política, não resgate financeiro. ## Visão Geral DCSrv é um malware destrutivo utilizado pelo [[g1009-moses-staff|Moses Staff]] desde pelo menos setembro de 2021. Ao contrário de ransomware convencional que criptografa dados e demanda resgate, o [[g1009-moses-staff|Moses Staff]] usa o DCSrv exclusivamente para fins destrutivos e de disrupção política - nunca oferece chave de descriptografia, tornando o dano irreversível para organizações afetadas sem backups adequados. O [[g1009-moses-staff|Moses Staff]] é um grupo hacktivista com nexo iraniano que surgiu em setembro de 2021 com ataques altamente publicizados contra organizações israelenses em múltiplos setores - governo, defesa, logística, telecomúnicações e serviços financeiros. O grupo combina exfiltração de dados sensíveis para públicação (doxing) com implantação do DCSrv para destruição de dados, maximizando tanto o dano reputacional quanto operacional às vítimas. O DCSrv opera como serviço Windows ([[t1543-003-windows-service|T1543.003]]) com nome de serviço projetado para mascarar como componente legítimo do sistema ([[t1036-004-masquerade-task-or-service|T1036.004]]). A criptografia é baseada em DiskCryptor - uma ferramenta de criptografia de disco de código aberto legítima - reproposta para fins maliciosos. Após criptografar discos e volumes, o DCSrv força reinicialização do sistema ([[t1529-system-shutdownreboot|T1529]]), tornando o sistema inacessível imediatamente após o ataque. A ausência de demanda de resgate é a característica que distingue o DCSrv de ransomware convencional: [[s1032-pydcrypt|PyDcrypt]] é um dropper Python relacionado que instala o DCSrv, e o [[g1009-moses-staff|Moses Staff]] usa os dois em conjunto para comprometimento completo de ambientes Windows corporativos. ## Como Funciona ```mermaid graph TB A["🎯 Acesso inicial<br/>Exploração de serviços expostos"] --> B["📦 Instalação via PyDcrypt<br/>Dropper Python instala DCSrv"] B --> C["⚙️ Serviço Windows<br/>Nome mascarado como legítimo"] C --> D["🔐 Criptografia de discos<br/>DiskCryptor - sem chave entregue"] D --> E["📝 Modifica Registro<br/>Dados de configuração"] E --> F["🔄 Reinicialização forçada<br/>Sistema inacessível"] F --> G["💀 Dano irreversível<br/>Sem recuperação sem backup"] ``` ## Análise Técnica **Mecanismo de criptografia:** - Baseado no DiskCryptor, ferramenta open source legítima de criptografia de disco - Criptografa volumes inteiros (não apenas arquivos individuais) tornando o SO inacessível - Não gera nem armazena chave de descriptografia - dano é permanente **Evasão:** - Nome do serviço Windows projetado para parecer componente legítimo do sistema ([[t1036-004-masquerade-task-or-service|T1036.004]]) - Arquivos com codificação/criptografia para dificultar análise estática ([[t1027-013-encryptedencoded-file|T1027.013]]) - Uso de Native API ([[t1106-native-api|T1106]]) para interação com disco a baixo nível **Relacionamento com [[s1032-pydcrypt|PyDcrypt]]:** O PyDcrypt é o componente de primeiro estágio que instala e configura o DCSrv. As duas ferramentas são usadas em conjunto em ataques do [[g1009-moses-staff|Moses Staff]], com o PyDcrypt responsável pelo download, instalação e configuração inicial do DCSrv no ambiente da vítima. ## Detecção e Defesa **Detecção:** - **Sysmon Event ID 26 (FileDeleteDetected):** Criação e instalação de novos serviços Windows por processos Python ou scripts não administrativos - **EDR:** Tentativas de acesso a raw disk (`\\.\PhysicalDrive0`) por serviço recém-instalado - indicativo de criptografia de disco - **Auditoria de Registro:** Modificações em `HKLM\SYSTEM\CurrentControlSet\Services` por processos não relacionados a administração de sistema **Proteção:** - **Backup imutável (3-2-1):** Backups offline ou imutáveis são a única proteção eficaz contra wipers - **Controle de criação de serviços:** Restringir criação de novos serviços Windows a processos administrativos explicitamente autorizados - [[m1053-data-backup|M1053]] - Backups regulares e testados são essenciais ## Relevância LATAM/Brasil O [[g1009-moses-staff|Moses Staff]] foca principalmente em alvos israelenses, mas o modelo de "hacktivismo destrutivo" - exfiltrar dados para doxing e depois destruir com wiper - é uma tendência crescente global. No Brasil, grupos com motivações políticas como [[stormous|Stormous]] e [[lapsus-group|LAPSUS$]] demonstraram disposição para destruição de dados como instrumento de pressão. Organizações governamentais brasileiras, empresas de infraestrutura crítica e entidades com alta visibilidade política devem considerar proteção contra wipers na sua estratégia de resiliência cibernética. ## Referências - [MITRE ATT&CK - S1033](https://attack.mitre.org/software/S1033) - [Check Point Research - Moses Staff: Targeting Israeli Companies](https://research.checkpoint.com/2021/mosesstaff-targeting-israeli-companies/) - 2021