# Olympic Destroyer > Tipo: **malware** · S0365 · [MITRE ATT&CK](https://attack.mitre.org/software/S0365) ## Descrição [[s0365-olympic-destroyer|Olympic Destroyer]] é um malware utilizado pelo [[g0034-sandworm|Sandworm Team]] (GRU, Rússia) contra as Olimpíadas de Inverno de 2018, realizadas em Pyeongchang, Coreia do Sul. Lançado na véspera da cerimônia de abertura, o ataque visava sabotar a infraestrutura TI do evento e provocar embaraço internacional ao país-sede. O principal objetivo do malware era tornar os sistemas de computadores infectados inoperantes, destruindo arquivos e sobrescrevendo setores de boot. O Olympic Destroyer se propaga em redes locais utilizando credenciais roubadas via dump do LSASS, movendo-se lateralmente via SMB e WMI. Antes de destruir dados, o malware para serviços de sistema, exclui shadow copies e apaga logs de eventos do Windows para dificultar a investigação forense. Suas capacidades de worm garantem propagação rápida por toda a rede antes que a destruição sejá ativada. O ataque foi notável por apresentar falsas flags de atribuição - o malware continha características que imitavam ferramentas de grupos chineses e norte-coreanos - demonstrando a sofisticação do [[g0034-sandworm|Sandworm Team]] em operações de engano e desinformação. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] ## Grupos que Usam - [[g0034-sandworm|Sandworm Team]] ## Detecção - Monitorar deleção em massa de shadow copies via vssadmin ([[t1490-inhibit-system-recovery|T1490]]) - Detectar dump de memória LSASS por processos não-autorizados ([[t1003-001-lsass-memory|T1003.001]]) - Alertar para propagação lateral massiva via SMB em curto intervalo de tempo ([[t1021-002-smbwindows-admin-shares|T1021.002]]) - Implementar backups imutáveis e offline como proteção contra wipers destrutivos ## Relevância LATAM/Brasil O Brasil sediou os Jogos Olímpicos de 2016 (Rio) e é candidato a futuros eventos de grande porte. O ataque do Olympic Destroyer às Olimpíadas de 2018 demonstrou que eventos internacionais de alta visibilidade são alvos atrativos para operações de sabotagem cibernética estatal. Organizações brasileiras responsáveis por infraestrutura de grandes eventos esportivos ou culturais devem incorporar o modelo de ameaça do Sandworm em seus planos de resiliência. ## Referências - [MITRE ATT&CK - S0365](https://attack.mitre.org/software/S0365)