# KillDisk > Tipo: **malware** · S0607 · [MITRE ATT&CK](https://attack.mitre.org/software/S0607) ## Descrição [[s0607-killdisk|KillDisk]] é uma ferramenta destrutiva de limpeza de disco projetada para sobrescrever arquivos com dados aleatórios e apagar o Master Boot Record (MBR), tornando o sistema operacional completamente não inicializável. Foi observado pela primeira vez como componente do malware [[s0089-blackenergy|BlackEnergy]] durante ataques cibernéticos devastadores contra a infraestrutura elétrica da Ucrânia em dezembro de 2015, atribuídos ao grupo [[g0034-sandworm|Sandworm Team]] (APT44), vinculado ao serviço de inteligência militar russo GRU. Esses ataques resultaram em apagões que afetaram centenas de milhares de consumidores ucranianos, marcando o primeiro apagão elétrico confirmado causado por um ciberataque. Desde então, o [[s0607-killdisk|KillDisk]] evoluiu para um malware autônomo com múltiplas variantes utilizadas por [[g0082-apt38|APT38]] e [[g0034-sandworm|Sandworm Team]] em campanhas contra setores financeiro, energia e governo em vários países. O malware implementa destruição de dados ([[t1485-data-destruction|T1485]]) e limpeza de estrutura de disco ([[t1561-002-disk-structure-wipe|T1561.002]]), combinada com criptografia de arquivos para impacto ([[t1486-data-encrypted-for-impact|T1486]]) em suas variantes de ransomware. Técnicas de evasão incluem mascaramento de serviços ([[t1036-004-masquerade-task-or-service|T1036.004]]), manipulação de tokens de acesso ([[t1134-access-token-manipulation|T1134]]) e limpeza de logs de eventos Windows ([[t1070-001-clear-windows-event-logs|T1070.001]]). Em 2016, uma variante do [[s0607-killdisk|KillDisk]] com componente de ransomware foi identificada atacando o setor financeiro na América Latina - específicamente no Brasil e em outros países da região - , tornando-o relevante para a análise do cenário de ameaças regional. Variantes para Linux também foram identificadas, ampliando seu alcance além do ecossistema Windows e demonstrando a evolução contínua dessa família de malware destrutivo como ferramenta de guerra cibernética e extorsão. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1106-native-api|T1106 - Native API]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1129-shared-modules|T1129 - Shared Modules]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1561-002-disk-structure-wipe|T1561.002 - Disk Structure Wipe]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1485-data-destruction|T1485 - Data Destruction]] ## Grupos que Usam - [[g0082-apt38|APT38]] - [[g0034-sandworm|Sandworm Team]] ## Detecção A detecção do [[s0607-killdisk|KillDisk]] deve focar tanto em indicadores de comprometimento pré-implantação quanto nos comportamentos destrutivos em si. Em fases pré-ataque, monitorar: acesso a disco bruto (DeviceIoControl com IOCTL_DISK_GET_DRIVE_LAYOUT) por processos não-administrativos; tentativas de parar múltiplos serviços do sistema em sequência ([[t1489-service-stop|T1489]]); limpeza de logs de eventos Windows ([[t1070-001-clear-windows-event-logs|T1070.001]]); e comandos de desligamento/reinicialização ([[t1529-system-shutdownreboot|T1529]]) emitidos por processos incomuns. A manipulação de tokens de acesso ([[t1134-access-token-manipulation|T1134]]) para elevar privilégios precede tipicamente a execução da fase destrutiva. Backups off-site e snapshots imutáveis são a principal mitigação contra o [[s0607-killdisk|KillDisk]] - uma vez executado, a recuperação de dados é extremamente difícil ou impossível. Políticas de acesso físico a disco bruto via AppLocker/GPO e monitoramento de integridade do MBR via ferramentas de detecção de bootkits também são defesas eficazes. Alertas imediatos para qualquer processo tentando escrever no setor 0 do disco (MBR) devem ser configurados em ambientes críticos. ## Relevância LATAM/Brasil O [[s0607-killdisk|KillDisk]] possui relevância direta para o Brasil e América Latina: em 2016-2017, uma variante com componente de ransomware do [[s0607-killdisk|KillDisk]] foi identificada em ataques contra o setor financeiro na América Latina, incluindo bancos no Brasil e outros países da região. O [[g0034-sandworm|Sandworm Team]] e o [[g0082-apt38|APT38]], operadores primários do [[s0607-killdisk|KillDisk]], têm demonstrado capacidade e interesse em atacar infraestrutura financeira e de energia globalmente. Dado que o Brasil possui a maior economia da América Latina e infraestrutura crítica de alto valor - Petrobras, sistema bancário BACEN, rede elétrica nacional - , o risco de campanhas destrutivas utilizando o [[s0607-killdisk|KillDisk]] ou ferramentas similares é real e deve ser considerado nos planos de continuidade de negócios. ## Referências - [MITRE ATT&CK - S0607](https://attack.mitre.org/software/S0607)