s1040-rclone - RunkIntel

# Rclone > Tipo: **tool** · S1040 · [MITRE ATT&CK](https://attack.mitre.org/software/S1040) ## Descrição [[s1040-rclone|Rclone]] é um programa de linha de comando open source para gerenciamento e sincronização de arquivos com mais de 40 provedores de armazenamento em nuvem (Dropbox, Google Drive, Amazon S3, MEGA, OneDrive, SFTP, etc.). Administradores de sistemas e DevOps o utilizam amplamente para backup automatizado, migração de dados e sincronização de arquivos entre ambientes. Em operações maliciosas, Rclone tornou-se a ferramenta de exfiltração preferida de grupos de ransomware pela sua eficiência, versatilidade e legitimidade - o tráfego parece backup normal para serviços de nuvem. Grupos como [[g1015-scattered-spider|Scattered Spider]], [[g1024-akira|Akira]], [[g1051-medusa-ransomware|Medusa Group]], [[g1032-inc-ransom|INC Ransom]] e [[g1053-storm-0501|Storm-0501]] utilizam Rclone para a etapa de "double extortion": antes de cifrar os dados, exfiltram terabytes de arquivos sensíveis para um servidor MEGA, AWS S3 ou SFTP controlado pelo atacante, usando a ameaça de públicação como alavanca adicional de pressão para o pagamento do resgaté. A configuração típica é feita via arquivo `rclone.conf` (frequentemente encontrado em locais temporários como `%TEMP%\rclone.conf`) com credenciais de acesso ao provedor de nuvem do atacante. O comando `rclone copy` então transfere os dados silenciosamente via HTTPS. A velocidade de transferência do Rclone - que suporta chunking e múltiplas conexões simultâneas - permite exfiltrar volumes massivos de dados em poucas horas. **Plataformas:** Linux, Windows, macOS ## Técnicas Utilizadas - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] - [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol|T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] ## Grupos que Usam - [[g1015-scattered-spider|Scattered Spider]] - [[g1051-medusa-ransomware|Medusa Group]] - [[g1053-storm-0501|Storm-0501]] - [[g1032-inc-ransom|INC Ransom]] - [[g1003-ember-bear|Ember Bear]] - [[g1024-akira|Akira]] - [[g1021-cinnamon-tempest|Cinnamon Tempest]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `rclone.exe` executado com parâmetros `copy`, `sync` ou `move` para destinos cloud - especialmente com `--config` apontando para arquivo em diretório temporário - **Sysmon Event ID 11 (FileCreaté):** Criação de `rclone.conf` em `%TEMP%`, `%APPDATA%` ou diretórios de trabalho de serviços - indica configuração temporária de exfiltração - **Network / DLP:** Transferências HTTPS de grande volume para MEGA.nz (`g.api.mega.co.nz`), AWS S3 ou outros provedores de nuvem fora dos padrões de backup autorizados **Regras de detecção:** - Sigma: `proc_creation_win_rclone_execution.yml` - detecta execução de rclone com parâmetros de exfiltração (SigmaHQ) - DLP: Alerta para uploads de > 1 GB para serviços de nuvem não corporativos em sessão única - Network: Bloqueio ou alerta em conexões para `g.api.mega.co.nz` em ambientes sem uso legítimo do MEGA ## Relevância LATAM/Brasil [[s1040-rclone|Rclone]] é frequentemente detectado em investigações de ransomware no Brasil. [[g1024-akira|Akira]] e [[g1051-medusa-ransomware|Medusa Group]] - grupos com vítimas confirmadas em empresas brasileiras dos setores de saúde, manufatura e serviços - utilizam Rclone sistematicamente para exfiltração antes da cifragem. Em 2024-2025, o CERT.br e times de DFIR brasileiros reportaram Rclone em múltiplos incidentes de ransomware, com exfiltração típica para MEGA ou infraestrutura SFTP do atacante. A ferramenta é frequentemente renomeada (ex: `svchost.exe`, `chrome.exe`) para dificultar detecção baseada em nome de processo. ## Referências - [MITRE ATT&CK - S1040](https://attack.mitre.org/software/S1040)