# Warzone RAT - Operações MaaS e Takedown FBI > [!medium] Ecossistema MaaS Desmantelado pelo FBI em Fevereiro de 2024 > Warzone RAT foi um dos ecossistemas de Malware-as-a-Service mais populares do mercado criminal entre 2019 e 2024, com mais de 7.000 clientes registrados e planos a partir de US$ 38/mês. O criador Daniel Meli foi preso em Malta em fevereiro de 2024 após operação coordenada do FBI com autoridades de 10 países. Esta nota documenta a estrutura operacional do MaaS, os principais atores identificados e a operação de desmantelamento. ## Visão Geral O Warzone RAT (comercializado como Ave Maria) operou como Malware-as-a-Service de outubro de 2018 até fevereiro de 2024, quando o FBI coordenou a apreensão de sua infraestrutura e a prisão de seus operadores. O modelo de negócio criminoso oferecia o trojan de acesso remoto via planos mensais com suporte técnico incluso, painel de administração web multi-vítima e atualizações regulares - uma operação profissionalizada que democratizou o acesso a capacidades de espionagem avançadas para centenas de grupos criminosos de baixa sofisticação. O criador e principal operador do serviço era Daniel Meli, cidadão maltês de 27 anos na época da prisão, que vendia o malware em fóruns de cibercrime como Exploit.in e XSS.is. Prince Odinakachi Nwamadu, co-distribuidor nigeriano radicado nos EUA, foi preso separadamente por comercializar o acesso ao serviço em mercados africanos. Ambos foram indiciados no Distrito Sul da Flórida (SDFL) por distribuição de malware, dano intencional a computadores e fraude eletrônica. O modelo MaaS tornou a atribuição extremamente difícil: o mesmo binário era operado por dezenas de grupos simultaneamente - desde grupos APT como [[g0078-gorgon-group]] e [[ta2722]] a operadores criminosos oportunistas visando empresas de [[financial|serviços financeiros]], [[government|governo]] e [[technology|tecnologia]] no Brasil, LATAM e Oriente Médio. O [[aggah-group]] foi um dos clientes mais documentados, usando o Warzone RAT em campanhas de spear-phishing contra o setor financeiro e agronegócio brasileiro entre 2020 e 2022. ## Estrutura do Ecossistema MaaS **Planos e precificação documentados:** - Plano básico: US$ 38/mês - acesso completo ao painel, 1 build customizado - Plano intermediário: US$ 60/mês - múltiplos builds, obfuscação embutida - Plano premium: US$ 100/mês - suporte VIP, actualizações prioritárias - Licença vitalícia: US$ 196 (documentada em fóruns) **Infraestrutura operacional:** - Domínio principal: `warzoneRAT.com` - Domínio secundário: `warzone.ws` - Painel de administração web para gestão de vítimas comprometidas - Builder customizável: configuração de C2, porta, persistência e ofuscação - Fórum de suporte técnico privado para clientes pagantes **Capacidades do serviço:** - RAT completo com Hidden RDP (HRDP), keylogger, acesso à webcam sem LED - Rootkit integrado para ocultação de processo e arquivos - Bypass de UAC via IFileOperation sem prompt visível - Protocolo C2 proprietário com RC4 para tráfego cifrado - Suporte técnico em inglês e russo nos fóruns ## Attack Flow do Ecossistema ```mermaid graph TB A["💰 Operador adquire<br/>plano MaaS - US$38/mês"] --> B["⚙️ Builder customiza<br/>payload com C2 e porta"] B --> C["📧 Campanha phishing<br/>documento Office ou ISO"] C --> D["🖱️ Vítima executa<br/>macro VBA ou arquivo"] D --> E["🛡️ Rootkit instala<br/>oculta processo e arquivos"] E --> F["🖥️ HRDP ativo<br/>sessão oculta de desktop"] F --> G["🔑 Coleta de dados<br/>senhas, keylogger, webcam"] G --> H["📡 Exfiltração RC4<br/>painel MaaS do operador"] ``` *Atores documentados usando Warzone RAT: [[aggah-group]] · [[g0078-gorgon-group]] · [[ta2722]]* ## Operação de Desmantelamento - FBI 2024 ```mermaid timeline title Warzone RAT MaaS - Linha do Tempo 2018-10 : Lançamento do Warzone RAT : Daniel Meli inicia vendas em fóruns : Ave Maria como nome de produto 2019-2020 : Adoção em massa : Aggah Group, Gorgon Group : Campanhas contra LATAM e ME 2021-2022 : Pico de popularidade : 7.000 clientes registrados : Plano básico US$38/mês 2022-2023 : FBI inicia investigação : DOJ (SDFL) prepara acusações : Infraestrutura rastreada 2024-02-07 : Operação Warzone : warzoneRAT.com apreendido : warzone.ws apreendido : Daniel Meli preso em Malta : Prince Nwamadu preso nos EUA ``` ## Operadores Identificados **Daniel Meli** (Criador e Operador Principal): - Nacionalidade: Malta - Papel: desenvolvimento, manutenção, venda e suporte técnico do Warzone RAT - Prisão: 7 de fevereiro de 2024 em Malta pelas autoridades maltesas - Acusações: fraude eletrônica, dano intencional a computadores protegidos, distribuição de malware - Extraditado para os EUA após acordo com autoridades maltesas **Prince Odinakachi Nwamadu** (Co-distribuidor): - Nacionalidade: Nigeriana (residente nos EUA) - Papel: distribuição do serviço em mercados africanos, recrutamento de clientes - Prisão: separada em operação coordenada com a prisão de Meli - Acusações similares no SDFL ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via shell remoto | | Phishing | [[t1566-phishing\|T1566]] | Entrega via documentos Office e arquivos ISO maliciosos | | Rootkit | [[t1014-rootkit\|T1014]] | Ocultação de processo, arquivos e entradas de registro | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas com contexto de janela ativa | | Bypass UAC | [[t1548-002-bypass-uac\|T1548.002]] | IFileOperation para escalada sem prompt visível | | Video Capture | [[t1125-video-capture\|T1125]] | Acesso à webcam sem acender LED indicador | | Acquire Infrastructure | [[t1583-acquire-infrastructure\|T1583]] | Infraestrutura MaaS centralizada para operadores | ## Relevância para o Brasil e LATAM > [!latam] Aggah Group Usou Warzone RAT contra o Brasil > O **Aggah Group** operou o Warzone RAT em campanhas contra o setor **financeiro** e agronegócio brasileiro entre 2020 e 2022, com phishing temático em **NF-e**, **SEFAZ** e faturas corporativas. O **CERT.br** registrou amostras do Ave Maria em campanhas contra organizações nacionais. A plataforma MaaS acessível permitiu que atores locais adquirissem o RAT sem expertise técnica. O ecossistema Warzone RAT teve impacto documentado significativo na América Latina: - **Aggah Group no Brasil**: o [[aggah-group]] usou o Warzone RAT extensivamente em campanhas contra o setor [[financial|financeiro]] e agronegócio brasileiro entre 2020 e 2022; temas de phishing incluíam notas fiscais eletrônicas (NF-e), comúnicações SEFAZ e faturas corporativas - **Modelo MaaS como acelerador**: a plataforma permitiu que grupos criminosos locais com pouca sofisticação técnica adquirissem e operassem o RAT contra alvos brasileiros sem necessitar de expertise de desenvolvimento - **Aggah Group no Oriente Médio**: o mesmo grupo documentado no Brasil também atacou empresas de [[energy|energia]] e [[government|governo]] no Oriente Médio, demonstrando alcance transversal do ecossistema - **Pós-takedown**: a apreensão do serviço em fevereiro de 2024 reduziu mas não eliminou o uso do Warzone RAT - operadores que possuíam cópias do builder e clientes com licenças vigentes continuaram usando o malware por meses após o takedown - O [[cert-br]] registrou amostras do Ave Maria em campanhas contra organizações brasileiras no período 2020-2023 ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Warzone RAT MaaS (TLP:GREEN) > **Infraestrutura apreendida:** > `warzoneRAT.com` (apreendido fev/2024) > `warzone.ws` (apreendido fev/2024) > > **Padrão de rede:** > Conexões TCP persistentes para portas altas (>1024) com tráfego RC4 > Heartbeat periódico com intervalo regular > > **Comportamento no host:** > HRDP ativo - sessão RDP oculta sem nova sessão visível > Processo oculto por rootkit (ausência no Task Manager) > Tentativa de bypass UAC via IFileOperation no log de eventos > > **Fontes:** [DOJ Press Release](https://www.justice.gov/usao-sdfl/pr/federal-authorities-seize-warzonerats-infrastructure-and-arrest-two-individuals) · [ANY.RUN](https://any.run/malware-trends/warzonerat) · [MITRE ATT&CK S0670](https://attack.mitre.org/software/S0670/) **Mitigações recomendadas:** - Bloquear macros de Office em documentos recebidos de fontes externas via Group Policy (GPO) - Monitorar conexões TCP persistentes de saída para portas altas com tráfego cifrado irregular - Detectar HRDP via monitoramento de sessões RDP sem novo logon registrado no EventLog - Implementar Application Control (AppLocker/WDAC) para bloquear execução de binários em `%AppData%` - Monitorar tentativas de bypass de UAC via IFileOperation no registro de eventos Windows (EventID 4688) - [[m1049-antivirus-antimalware|EDR]] com detecção comportamental de rootkit e process hollowing ## Referências - [1](https://www.justice.gov/usao-sdfl/pr/federal-authorities-seize-warzonerats-infrastructure-and-arrest-two-individuals) DOJ SDFL - Federal Authorities Seize WarzoneRAT Infrastructure and Arrest Two (2024) - [2](https://www.bleepingcomputer.com/news/security/fbi-seizes-warzonerat-malware-infrastructure-arrests-two/) BleepingComputer - FBI Seizes WarzoneRAT Infrastructure, Arrests Two (2024) - [3](https://attack.mitre.org/software/S0670/) MITRE ATT&CK - Warzone RAT S0670 (2024) - [4](https://any.run/malware-trends/warzonerat) ANY.RUN - Warzone RAT Malware Trend Analysis (2024) - [5](https://www.proofpoint.com/us/threat-reference/ave-maria) Proofpoint - Ave Maria/Warzone RAT Threat Reference (2023) - [6](https://blog.talosintelligence.com/warzone-rat-analysis/) Cisco Talos - Warzone RAT Technical Deep Dive (2023) - [7](https://www.crowdstrike.com/blog/crime-wave-cybercriminals-using-ave-maria-malware/) CrowdStrike - Crime Wave: Ave Maria MaaS Ecosystem (2022)