# Embargo > Tipo: **ransomware** · S1247 · [MITRE ATT&CK](https://attack.mitre.org/software/S1247) > [!info] Resumo Operacional > Ransomware RaaS escrito em Rust, ativo desde junho de 2024. Operado pelo grupo Storm-0501 contra alvos de alto valor. Ecossistema completo: MDeployer (loader com RC4) + MS4Killer (BYOVD EDR killer) + payload Embargo. Compilado customizado por vitima. Reinicializacao em Safe Mode para evasão de EDR. Alvos incluem governo, manufatura e transporte nos EUA e nuvens hibridas. ## Visão Geral [[s1247-embargo|Embargo]] e um ransomware RaaS (Ransomware-as-a-Service) escrito em Rust, identificado pela primeira vez em junho de 2024 pela Microsoft Threat Intelligence. Operado pelo grupo [[g1053-storm-0501|Storm-0501]], o [[s1247-embargo|Embargo]] representa a geracao mais recente de ransomwares - construido em Rust para melhor desempenho, resistencia a análise e portabilidade entre plataformas (Windows, Linux/ESXi). O Embargo nao e apenas um payload de ransomware: e parte de um ecossistema de ataque completo que inclui o loader [[mdeployer|MDeployer]] e o EDR killer [[ms4killer|MS4Killer]]. O [[g1053-storm-0501|Storm-0501]] e um grupo de ameaça financeiramente motivado que opera como afiliado de múltiplos programas RaaS. Antes do [[s1247-embargo|Embargo]], o grupo distribuiu outros ransomwares incluindo Hive, BlackCat/ALPHV, LockBit e Hunters International. O [[s1247-embargo|Embargo]] representa a evolução do grupo para operar seu proprio payload, com compilacao customizada por vitima - cada build contem strings de identificação únicas que dificultam correlação entre incidentes e análise de inteligência de ameaças em escala. O componente [[ms4killer|MS4Killer]] e particularmente significativo: utiliza a técnica BYOVD (Bring Your Own Vulnerable Driver) ([[t1068-exploitation-for-privilege-escalation|T1068]]) para carregar um driver vulnerável assinado e usar suas privilegios de kernel para terminar processos de EDR e AV. O [[s1247-embargo|Embargo]] também usa reinicializacao em Safe Mode ([[t1562-009-safe-mode-boot|T1562.009]]) para contornar soluções de segurança que nao iniciam neste modo - uma técnica que o [[conti|Conti]] popularizou e que continua eficaz contra muitas soluções de endpoint. O modelo de extorsao dupla e padrao: dados sao exfiltrados antes da criptografia, e o grupo opera um portal de vazamento onde pública dados de vitimas que se recusam a pagar. **Plataformas:** ESXi, Linux, Windows ## Como Funciona O [[g1053-storm-0501|Storm-0501]] tipicamente obtem acesso inicial via credenciais roubadas ou vulnerabilidades em sistemas expostos. Após reconhecimento e movimento lateral via ferramentas como Cobalt Strike, o grupo implanta o MDeployer - um loader que descriptografa (RC4) e executa o [[ms4killer|MS4Killer]] para neutralizar EDR, seguido pelo payload [[s1247-embargo|Embargo]]. O ransomware enumera arquivos ([[t1083-file-and-directory-discovery|T1083]]), compartilhamentos ([[t1135-network-share-discovery|T1135]]) e processos ([[t1057-process-discovery|T1057]]), para servicos criticos ([[t1489-service-stop|T1489]]) e elimina shadow copies ([[t1490-inhibit-system-recovery|T1490]]) antes de iniciar criptografia. Arquivos recebem extensao `.partial` durante criptografia e `.embargo` quando concluidos. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Credenciais roubadas<br/>Vulnerabilidades expostas"] --> B["Movimento Lateral<br/>Cobalt Strike / ferramentas nativas<br/>Reconhecimento AD e hibrido"] B --> C["Exfiltração<br/>Dados valiosos copiados<br/>Para extorsao dupla"] C --> D["MDeployer<br/>Loader RC4-encrypted<br/>Deploya MS4Killer + Embargo"] D --> E["MS4Killer BYOVD<br/>Driver vulnerável assinado<br/>Mata processos EDR/AV"] E --> F["Safe Mode Boot<br/>Reinicia em Safe Mode<br/>EDR nao inicia"] F --> G["Criptografia Embargo<br/>Rust payload customizado<br/>Extensao .embargo"] G --> H["Extorsao Dupla<br/>Portal de vazamento<br/>Storm-0501 negocia resgaté"] style A fill:#1a1a2e,color:#e0e0e0 style B fill:#16213e,color:#e0e0e0 style C fill:#0f3460,color:#e0e0e0 style D fill:#533483,color:#e0e0e0 style E fill:#e94560,color:#ffffff style F fill:#e94560,color:#ffffff style G fill:#c62a2a,color:#ffffff style H fill:#c62a2a,color:#ffffff ``` ## Timeline ```mermaid timeline title Embargo Ransomware - Atividade 2024-05 : Embargo identificado em primeira vitima : Storm-0501 como operador confirmado 2024-06 : Microsoft Threat Intelligence publica análise : Ecossistema MDeployer + MS4Killer documentado 2024-08 : Ataques contra governo e manufatura EUA : Técnica Safe Mode Boot confirmada 2024-09 : Storm-0501 expande alvos para cloud hibrida : Azure Arc e Azure AD como vetor lateral 2024-10 : MITRE registra como S1247 : Multiplas organizacoes afetadas nos EUA 2025 : Grupo continua ativo com novas campanhas : Alvos em transporte e saude documentados ``` ## Técnicas Utilizadas - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - BYOVD para driver kernel no MS4Killer - [[t1562-009-safe-mode-boot|T1562.009 - Safe Mode Boot]] - reinicia em Safe Mode para evasão de EDR - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - descriptografa RC4 no MDeployer - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - payload RC4-encrypted no MDeployer - [[t1489-service-stop|T1489 - Service Stop]] - para servicos criticos antes de criptografar - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - deleta shadow copies - [[t1480-002-mutual-exclusion|T1480.002 - Mutual Exclusion]] - mutex para prevenir execução dupla - [[t1112-modify-registry|T1112 - Modify Registry]] - modifica registro para Safe Mode boot - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - enumeracao de arquivos alvo - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - mapeamento de shares - [[t1057-process-discovery|T1057 - Process Discovery]] - listagem de processos para terminar - [[t1106-native-api|T1106 - Native API]] - uso direto de APIs Windows - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - execução via cmd - [[t1657-financial-theft|T1657 - Financial Theft]] - extorsao financeira - [[t1679-selective-exclusion|T1679 - Selective Exclusion]] - exclui arquivos criticos do SO da criptografia ## Grupos que Usam - [[g1053-storm-0501|Storm-0501]] - operador principal; grupo financeiramente motivado, ex-afiliado de Hive/BlackCat/LockBit ## Relevância LATAM/Brasil O [[s1247-embargo|Embargo]] e o modelo de ataque do [[g1053-storm-0501|Storm-0501]] tem relevância para o Brasil pelo historico do grupo como afiliado de múltiplos programas RaaS que atacaram organizacoes brasileiras. O padrao de targeting do Storm-0501 - governo, manufatura, transporte e saúde - corresponde aos setores mais afetados por ransomware no Brasil. A técnica BYOVD do [[ms4killer|MS4Killer]] e especialmente preocupante pois neutraliza soluções de EDR modernas que muitas organizacoes brasileiras implantaram nos ultimos anos como defesa principal contra ransomware. O targeting de ambientes nuvem hibrida (Azure Arc, Azure AD) documentado nas campanhas do Storm-0501 em 2024 e diretamente relevante para organizacoes brasileiras que migraram cargas de trabalho para Azure/AWS mantendo ainda infraestrutura on-premise - um modelo extremamente comum no mercado brasileiro. O movimento lateral de ambientes locais para cloud e vice-versa expande dramaticamente o raio de impacto potencial de um ataque Embargo. ## Detecção - Monitorar carregamento de drivers vulneraveis conhecidos (lista LOLBAS) - especialmente por processos nao-sistema - Detectar alteracoes de registro que configuram boot em Safe Mode (`HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot`) - Alertar para renomeacao em massa de arquivos com extensoes `.partial` e `.embargo` - Monitorar terminacao de processos de EDR/AV por processos nao relacionados ao software de segurança - Implementar politica de Secure Boot e Hypervisor-Protected Code Integrity (HVCI) para mitigar BYOVD ```sigma title: Embargo Ransomware Safe Mode Boot Configuration status: stable logsource: category: registry_event product: windows detection: selection: TargetObject|contains: - '\CurrentControlSet\Control\SafeBoot\Minimal' - '\CurrentControlSet\Control\SafeBoot\Network' EventType: SetValue filter: Image|contains: - '\Windows\System32' condition: selection and not filter falsepositives: - Legitimaté system administrators configuring Safe Mode level: critical tags: - attack.defense-evasion - attack.t1562.009 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1247) MITRE ATT&CK - S1247 Embargo (2024) - [2](https://www.microsoft.com/en-us/security/blog/2024/10/22/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/) Microsoft - Storm-0501 Ransomware Attacks in Hybrid Cloud (2024) - [3](https://www.elastic.co/security-labs/embargo-ransomware-rock-n-rust) Elastic Security Labs - Embargo Ransomware: Rock n Rust (2024) - [4](https://unit42.paloaltonetworks.com/embargo-ransomware-mdeployer-ms4killer/) Unit 42 - Embargo Ransomware: MDeployer and MS4Killer (2024) - [5](https://www.cisa.gov/stopransomware) CISA - StopRansomware Guide (2024)