# Procedimentos > **20 procedimentos** - Implementações reais de técnicas observadas em campanhas e incidentes específicos. ```mermaid graph TB subgraph procedures["Procedimentos Documentados"] direction TB A["🎯 Procedures<br/>Implementações reais"] B["🏦 Banking Trojans<br/>GoPIX, Grandoreiro, Mekotio,<br/>Astaroth"] C["💀 Ransomware<br/>LockBit, BlackCat, Rhysida,<br/>Akira, Cl0p"] D["🕵️ APT Operations<br/>APT28, APT29, Lazarus,<br/>Volt Typhoon"] E["🔧 Social Eng / Supply Chain<br/>Scattered Spider, NPM,<br/>DLL Sideloading"] end A --> B A --> C A --> D A --> E classDef main fill:#1a3a5c,color:#fff,stroke:#2980b9 classDef cat fill:#2c3e50,color:#fff,stroke:#3498db class A main class B,C,D,E cat ``` > [!info] Sobre os Procedimentos > Procedimentos descrevem a **implementação real** de técnicas MITRE ATT&CK observadas em campanhas e incidentes específicos. Cada procedimento documenta o passo a passo do ataque, TTPs mapeados, detecção e contexto Brasil/LATAM. > [!warning] Contexto Brasil/LATAM > Os procedimentos priorizados incluem **banking trojans brasileiros** (GoPIX, Grandoreiro), **ransomware com impacto regional** (LockBit, Interlock) e **operações APT** contra alvos latino-americanos. Cada procedimento inclui IoCs e recomendações de detecção aplicáveis ao contexto nacional. %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Procedimento", threat-actor AS "Ator", severity AS "Severidade" FROM "ttp/procedures" WHERE type = "procedure" SORT title ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Procedimento", threat-actor AS "Ator", severity AS "Severidade" FROM "ttp/procedures" WHERE type = "procedure" SORT title ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Procedimento", threat-actor AS "Ator", severity AS "Severidade" FROM "ttp/procedures" WHERE type = "procedure" SORT title ASC --> | Procedimento | Ator | Severidade | | ------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ---------- | | [[proc-apt28-mshtml-exploitation\|PROC - APT28 MSHTML Exploitation]] | \- | \- | | [[proc-apt29-cloud-token-theft\|PROC - APT29 Cloud Credential and Token Theft]] | \- | \- | | [[proc-gopix-pix-hijacking\|PROC - GoPix: Sequestro de PIX via Clipboard Hijacking]] | \- | \- | | [[proc-grandoreiro-overlay-attack\|PROC - Grandoreiro Banking Overlay Attack]] | \- | \- | | [[proc-handala-intune-wipe\|PROC - Handala/Void Manticore: MDM as Weapon (Intune Wipe)]] | \- | \- | | [[proc-interlock-cisco-fmc-exploitation\|PROC - Interlock Cisco FMC Exploitation (CVE-2026-20131)]] | \- | \- | | [[proc-kimsuky-credential-harvesting\|PROC - Kimsuky: Coleta de Credenciais via Phishing]] | [[kimsuky-apt43\|Kimsuky (APT43)]] | high | | [[proc-lazarus-supply-chain-npm\|PROC - Lazarus npm Supply Chain Attack]] | \- | \- | | [[proc-lockbit-double-extortion\|PROC - LockBit Double Extortion Procedure]] | \- | \- | | [[proc-lsass-credential-dumping\|PROC - LSASS Credential Dumping]] | \- | \- | | [[proc-medusa-rdp-bruteforce-latam\|PROC - Medusa: Ataque de Força Bruta RDP LATAM]] | [[medusa-ransomware-operators\|Medusa Ransomware Operators]] | critical | | [[proc-muddywater-blockchain-c2\|PROC - MuddyWater Blockchain C2 via Ethereum]] | \- | \- | | [[proc-registry-run-keys-banking-trojans\|PROC - Registry Run Keys para Banking Trojans]] | \- | \- | | [[proc-scheduled-task-persistence\|PROC - Scheduled Task Persistence]] | \- | \- | | [[proc-valid-accounts-iab\|PROC - Valid Accounts via Initial Access Brokers]] | \- | \- | | [[proc-venon-dll-sideloading\|PROC - VENON Banking Trojan DLL Side-Loading]] | \- | \- | | [[proc-akira-vpn-exploitation\|Procedimento - Akira - Ransomware via Exploração de VPN Cisco]] | [[akira-ransomware]] | critical | | [[proc-astaroth-fileless-brazil\|Procedimento - Astaroth/Guildma - Cadeia de Ataque Fileless Específico Brasil]] | [[astaroth-guildma]] | high | | [[proc-blackcat-esxi-encryption\|Procedimento - BlackCat/ALPHV - Criptografia de Ambientes VMware ESXi]] | [[blackcat-alphv]] | critical | | [[proc-cl0p-moveit-mass-exploitation\|Procedimento - Cl0p - Exploração em Massa do MOVEit Transfer]] | [[cti/groups/cl0p.md\|cl0p]] | critical | | [[proc-mekotio-banking-trojan-chain\|Procedimento - Mekotio - Kill Chain Completo Trojan Bancario Brazil]] | [[_inbox/_processed/mekotio.md\|mekotio]] | critical | | [[proc-rhysida-healthcare-attack\|Procedimento - Rhysida - Ataque Ransomware contra Setor de Saude]] | [[cti/groups/rhysida.md\|rhysida]] | critical | | [[proc-scattered-spider-social-engineering\|Procedimento - Scattered Spider - Vishing e MFA Fatigue]] | [[g1015-scattered-spider]] | critical | | [[proc-volt-typhoon-lotl-persistence\|Procedimento - Volt Typhoon - Living-Off-The-Land em Infraestrutura Critica]] | [[g1017-volt-typhoon]] | critical | <!-- SerializedQuery END --> > [!abstract] Onde encontrar mais procedimentos > Procedimentos específicos também estão documentados nas notas de **Threat Actors** (seção "TTPs Detalhadas"), nas notas de **Campanhas** (seção "Cadeia de Ataque") e nos **Playbooks de Resposta a Incidentes** (seção "Indicadores Comportamentais"). A separação aqui como notas dedicadas é para os procedimentos mais complexos e bem documentados, com diagrama de sequência próprio. --- **Navegação:** [[_techniques|Técnicas]] · [[_tactics|Táticas]] · [[_defenses|Defesas]]