# RansomHub > Tipo: **malware** · S1212 · [MITRE ATT&CK](https://attack.mitre.org/software/S1212) ## Descrição [[s1212-ransomhub|RansomHub]] é uma plataforma de ransomware-as-a-service (RaaS) com versões para Windows, ESXi, Linux e FreeBSD, em uso desde pelo menos 2024 para atacar organizações em múltiplos setores globalmente. Os operadores do [[s1212-ransomhub|RansomHub]] podem ter adquirido e rebatizado recursos do ransomware Knight (anteriormente Cyclops), que compartilha sobreposições de infraestrutura, funcionalidades e código com o [[s1212-ransomhub|RansomHub]]. O RansomHub emergiu rapidamente como uma das operações de ransomware mais ativas de 2024, atraindo afiliados experientes de grupos desarticulados como [[alphv|ALPHV/BlackCat]] e [[lockbit|LockBit]]. O grupo oferece condições favoráveis aos afiliados - até 90% do resgaté - o que atraiu operadores experientes rapidamente após os takedowns de 2024. Técnicamente, o RansomHub usa [[t1562-009-safe-mode-boot|boot em modo seguro]] para contornar defesas, [[t1480-execution-guardrails|execution guardrails]] para evitar execução em países excluídos, e limpa logs de eventos Windows ([[t1070-001-clear-windows-event-logs|T1070.001]]) para dificultar investigação forense. O grupo opera um site de vazamento de dados na dark web com contagem regressiva para públicação, pressionando organizações a pagar rapidamente. Em 2024, o RansomHub comprometeu mais de 210 organizações apenas nos EUA segundo o FBI/CISA, com vítimas em setores críticos como saúde, água e saneamento, serviços financeiros, e tecnologia da informação. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1562-009-safe-mode-boot|T1562.009 - Safe Mode Boot]] - [[t1090-proxy|T1090 - Proxy]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Detecção A detecção do RansomHub deve incluir monitoramento de reinicializações em modo seguro ([[t1562-009-safe-mode-boot|T1562.009]]), execução de PowerShell com comandos de descoberta de sistemas remotos ([[t1018-remote-system-discovery|T1018]]) e limpeza de logs ([[t1070-001-clear-windows-event-logs|T1070.001]]). Tráfego SMB lateral não autorizado ([[t1021-002-smbwindows-admin-shares|T1021.002]]) e acessos às shadow copies por processos não-Windows são alertas críticos. O CISA públicou um advisory com IoCs específicos do RansomHub (AA24-242A) com regras YARA e Sigma. ## Relevância LATAM/Brasil O RansomHub foi identificado em ataques contra organizações brasileiras e latino-americanas, com vítimas confirmadas nos setores de saúde, governo e infraestrutura crítica. Em 2024, ao menos duas organizações brasileiras de saúde apareceram no site de vazamento do RansomHub. A plataforma multiplataforma do grupo (Windows, Linux, ESXi) representa um risco ampliado para o ecossistema tecnológico brasileiro, que combina infraestrutura legada Windows com ambientes Linux e virtualização ESXi em data centers corporativos. ## Referências - [MITRE ATT&CK - S1212](https://attack.mitre.org/software/S1212) - [CISA Advisory AA24-242A - RansomHub Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a)