# ALPHV/BlackCat > Tipo: **ransomware RaaS** - S1068 - [MITRE ATT&CK](https://attack.mitre.org/software/S1068) > [!warning] Grupo Desmantelado em 2024 - Legado Persiste > Em dezembro de 2023, o FBI realizou operação coordenada contra a infraestrutura do ALPHV/BlackCat. O grupo tentou "exit scam" contra afiliados em fevereiro de 2024 antes de encerrar operações. Seus afiliados e TTPs migraram para outros grupos como RansomHub. ## Visão Geral [[s1068-alphvblackcat|ALPHV/BlackCat]] e um ransomware-as-a-service escrito em **Rust** - uma escolha tecnológica pioneira que confere portabilidade entre Windows, Linux e VMware ESXi, alem de dificultar análise estática. Identificado pela primeira vez em novembro de 2021, o grupo acumulou mais de 1.000 vitimas em 2 anos com receita de centenas de milhões de dólares. O ALPHV/BlackCat surgiu com aparente vinculo a linhagem [[darkside-ransomware|DarkSide]] - o mesmo grupo por tras do ataque ao Colonial Pipeline. O modelo RaaS oferece aos afiliados entre **80-90% do ransom**, o mais generoso do setor, atraindo operadores experientes. O modelo de **extorsao tripla** - criptografia + vazamento de dados + ataques DDoS - foi pioneirizado pelo grupo. O ataque ao **Change Healthcare** em fevereiro de 2024 causou a maior disrupcao no sistema de saúde americano em decadas: pagamentos de seguros foram paralisados por semanas. O ransom pago foi de aproximadamente **US$22 milhões** - um dos maiores da historia. Após a intervencao do FBI, o grupo realizou exit scam roubando a comissao dos proprios afiliados e encerrou as operações. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona O ALPHV/BlackCat opera com cadeia de ataque adaptavel a cada afiliado: 1. **Acesso inicial variado:** Exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]), credenciais válidas compradas underground ([[t1078-valid-accounts|T1078]]), VPNs sem MFA ([[t1133-external-remote-services|T1133]]) 2. **Pos-exploração profissional:** Uso de [[s0154-cobalt-strike|Cobalt Strike]], Brute Ratel C4 e AnyDesk para movimento lateral e manutenção de acesso persistente 3. **Roubo de credenciais:** Técnicas NTLM relay ([[t1557-adversary-in-the-middle|T1557]]) e Kerberoasting ([[t1558-steal-or-forge-kerberos-tickets|T1558]]) para escalar privilegios até domain admin 4. **Exfiltração pre-criptografia:** Uso de Rclone para copiar dados para storage remoto antes de criptografar - garante alavancagem de extorsao dupla 5. **Desativacao de defesas:** Termina processos de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]), deleta shadow copies ([[t1490-inhibit-system-recovery|T1490]]) 6. **Criptografia modular em Rust:** Suporte a criptografia parcial configuravel por afiliado, algoritmos ChaCha20/AES-128 ```mermaid graph TB A["Acesso inicial<br/>Credenciais / VPN sem MFA<br/>Exploit T1190"] --> B["C2 profissional<br/>Cobalt Strike / Brute Ratel<br/>AnyDesk para acesso remoto"] B --> C["Escalada de privilegios<br/>Kerberoasting T1558<br/>NTLM relay T1557"] C --> D["Reconhecimento<br/>Mapeamento de shares<br/>Identificação de backups"] D --> E["Exfiltração pre-ransom<br/>Rclone para storage remoto<br/>Extorsao dupla garantida"] E --> F["Desativar defesas<br/>AV/EDR desativados T1562.001<br/>Shadow copies deletadas T1490"] F --> G["Criptografia Rust<br/>ChaCha20/AES-128<br/>Windows + Linux + ESXi"] G --> H["Triple extorsao<br/>Criptografia + vazamento<br/>+ DDoS a infraestrutura"] classDef access fill:#e74c3c,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef priv fill:#e67e22,color:#fff classDef recon fill:#27ae60,color:#fff classDef exfil fill:#2980b9,color:#fff classDef defense fill:#c0392b,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef impact fill:#1a252f,color:#fff class A access class B c2 class C priv class D recon class E exfil class F defense class G encrypt class H impact ``` ## Timeline ```mermaid timeline title ALPHV/BlackCat - Historico Nov 2021 : Primeiro aviso em Rust - portabilidade cross-platform Ján 2022 : Confirmacao como RaaS - modelo 80-90% para afiliados 2022-2023 : Mais de 1.000 vitimas - triple extorsao pioneirizada Dez 2023 : FBI operação - chave de decriptografia obtida Fev 2024 : Ataque Change Healthcare - US$22M ransom Mar 2024 : Exit scam contra afiliados - encerramento ALPHV 2024-2025 : Afiliados migram para RansomHub com TTPs identicos ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | | Initial Access | [[t1133-external-remote-services\|T1133]] | External Remote Services | | Initial Access | [[t1078-valid-accounts\|T1078]] | Valid Accounts | | Credential Access | [[t1558-steal-or-forge-kerberos-tickets\|T1558]] | Kerberoasting | | Credential Access | [[t1557-adversary-in-the-middle\|T1557]] | NTLM Relay | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativar AV/EDR | | Lateral Movement | [[t1055-process-injection\|T1055]] | Process Injection | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Data Encrypted for Impact | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deletar Shadow Copies | | Impact | [[t1489-service-stop\|T1489]] | Terminar servicos de backup | ## Relevância LATAM/Brasil O ALPHV/BlackCat representa ameaça específica para o setor de [[healthcare|saúde]] brasileiro. O ataque ao Change Healthcare demonstrou que hospitais sem MFA em VPNs sao vulneraveis a paralisacao total de sistemas criticos. No Brasil, onde hospitais públicos frequentemente operam com sistemas legados e conectividade de backup limitada, um ataque similar poderia ter impacto catastrofico em vidas humanas. O modelo RaaS com alta comissao atrai afiliados que pesquisam alvos específicamente antes de atacar. Organizacoes brasileiras dos setores de [[healthcare|saúde]], [[financial|financeiro]] e [[government|governo]] com VPNs sem MFA sao candidatas de alto valor. Após o encerramento em 2024, afiliados migraram para **RansomHub** mantendo TTPs identicos - o perfil permanece operacionalmente relevante para detecção e defesa. **Setores impactados:** [[healthcare|saúde]] - [[financial|financeiro]] - [[government|governo]] - [[technology|tecnologia]] ## Detecção - Monitorar autenticação em VPNs sem MFA, especialmente fora do horario comercial ou de localizacoes geograficas incomuns - Detectar Rclone ou ferramentas de transferencia em massa para destinos externos - indicador de exfiltração pre-ransom - Alertar para delecao de shadow copies via `vssadmin delete shadows /all /quiet` - Monitorar terminacao em massa de processos de AV/EDR ou servicos de backup - Detectar [[s0154-cobalt-strike|Cobalt Strike]] beacons via análise de trafego de rede ```sigma title: ALPHV BlackCat Shadow Copy Deletion status: stable logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'vssadmin delete shadows' - 'wbadmin delete catalog' - 'bcdedit /set {default} recoveryenabled No' condition: selection level: critical tags: - attack.impact - attack.t1490 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1068) MITRE ATT&CK - S1068 ALPHV/BlackCat (2024) - [2](https://www.ic3.gov/CSA/2023/230419.pdf) FBI/CISA - StopRansomware ALPHV Blackcat Advisory (2023) - [3](https://www.hhs.gov/sites/default/files/alphv-blackcat-threat-actor-tlpclear.pdf) HHS HC3 - ALPHV/BlackCat Threat Actor Brief (2023) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a) CISA - Advisory AA23-353A ALPHV Blackcat (2023) - [5](https://www.bleepingcomputer.com/news/security/change-healthcare-cyberattack-was-due-to-a-lack-of-multifactor-authentication/) BleepingComputer - Change Healthcare Attack Lack of MFA (2024)