# Moneybird > Tipo: **malware** · S1137 · [MITRE ATT&CK](https://attack.mitre.org/software/S1137) ## Descrição [[s1137-moneybird|Moneybird]] é uma variante de ransomware escrita em C++ associada às operações do [[g1030-agrius|Agrius]], grupo de ciberespionagem e sabotagem com nexo iraniano que opera com disfarce de grupo de ransomware financeiramente motivado. Descoberto pela Check Point em 2023, o Moneybird foi implantado contra organizações israelenses, especialmente do setor de transporte e logística. O nome "Moneybird" está embutido tanto na nota de resgaté quanto como strings no binário executável. O Moneybird emprega payloads embutidos ([[t1027-009-embedded-payloads|T1027.009]]) para dificultar a análise estática e implementa criptografia de dados ([[t1486-data-encrypted-for-impact|T1486]]) como seu impacto final. A chave de criptografia é gerada por sessão e transmitida ao servidor de controle, tornando a recuperação sem o pagamento do resgaté - ou a intervenção de uma cópia de backup - inviável. O [[g1030-agrius|Agrius]] tipicamente usa ransomware não para ganho financeiro, mas como cobertura para operações de destruição de dados (wiper disfarçado). O contexto geopolítico do Moneybird é significativo: o [[g1030-agrius|Agrius]] usa ransomware como arma de perturbação alinhada com objetivos de política externa iraniana. Cada campanha coincide com períodos de tensão entre Irã e Israel. Esse padrão de ransomware como perturbação - não como extorsão - representa uma tendência crescente que equipes de segurança em países aliados de Israel (incluindo o Brasil) devem monitorar. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-009-embedded-payloads|T1027.009 - Embedded Payloads]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] ## Grupos que Usam - [[g1030-agrius|Agrius]] ## Detecção A detecção do Moneybird envolve monitoramento de processos que tentam criptografar grandes volumes de arquivos ([[t1486-data-encrypted-for-impact|T1486]]), análise de payloads embutidos em executáveis ([[t1027-009-embedded-payloads|T1027.009]]) e detecção de acesso em massa a diretórios de dados. Soluções EDR com proteção comportamental contra ransomware (anti-ransomware honeypots, rollback de arquivos) são eficazes. Regras YARA para strings características do Moneybird e análise de comunicação de rede para servidores de exfiltração de chave de criptografia complementam a detecção. ## Relevância LATAM/Brasil O [[g1030-agrius|Agrius]] tem foco geopolítico em Israel e países aliados, mas o padrão de uso de ransomware como arma de perturbação é uma tendência crescente com implicações globais. No Brasil, grupos como o [[g1004-lapsus|LAPSUS$]] e operadores de ransomware demonstraram que ataques destrutivos disfarçados de extorsão são possíveis. Organizações brasileiras com operações em Israel ou com parcerias com empresas israelenses de tecnologia devem monitorar IOCs do [[g1030-agrius|Agrius]] e implementar controles robustos de backup imutável para mitigar o risco de ataques wiper-ransomware. ## Referências - [MITRE ATT&CK - S1137](https://attack.mitre.org/software/S1137) - [Check Point Research - Agrius Deploys Moneybird in Targeted Attacks Against Israeli Organizations](https://research.checkpoint.com/2023/agrius-deploys-moneybird-in-targeted-attacks-against-israeli-organizations/)