# PROC — Medusa: Força Bruta RDP e Ransomware LATAM ## Visão Geral O [[medusa-ransomware-operators|Medusa]] é um grupo de ransomware que opera em modelo RaaS (Ransomware-as-a-Service), especializado em **exploração de acesso RDP exposto** em organizações de saúde, educação e PMEs na América Latina, com foco no Brasil. O procedimento central é simples e altamente efetivo: varredura de redes em busca de portas RDP (3389) expostas, ataque de força bruta com wordlists comuns, e uma vez autenticado, movimentação lateral através do RDP para comprometer controladores de domínio, exfiltração de dados, e implantação do ransomware Medusa com chave RSA-2048 que torna os dados irrecuperáveis sem contato com os operadores. ## Attack Flow — Cadeia de Ataque Completa ```mermaid graph TB A["🎯 Identificar RDP<br/>Porta 3389 exposta"] --> B["💻 Força Bruta<br/>Credenciais admin comuns"] B --> C["✅ Acesso RDP<br/>Sessão interativa"] C --> D["🔄 Reconhecimento<br/>Domínio, shares, dados críticos"] D --> E["➡️ Movimento Lateral<br/>PSexec, RDP chain"] E --> F["⬆️ Exfiltração<br/>Dados sensíveis via Rclone"] F --> G["🔐 Encriptação<br/>Ransomware Medusa deployed"] G --> H["💰 Extorsão<br/>Double-extortion com leak site"] ``` ## Passo a Passo Detalhado ### Fase 1 — Reconhecimento e Varredura Os operadores do [[medusa-ransomware-operators|Medusa]] utilizam ferramentas de scanner público (Shodan, Censys) para identificar RDP em redes corporativas. As buscas tipicamente buscam: - Portas **3389/TCP** abertas externamente em redes LATAM (filtros geográficos) - Banners de servidor RDP que indicam versão do Windows (Server 2016, Server 2019, Server 2022) - Detecção de firewalls fracos (resposta positiva sem SSL/TLS) - Organizações de saúde, educação ou financeiras (Shodan dork: `"RDP" country:BR sector:healthcare`) Uma varredura típica pode cobrir **65.000+ endereços IPv4 brasileiros** identificando 2-3% com RDP exposto — potencial de 1.300+ alvos por região. ### Fase 2 — Ataque de Força Bruta ([[t1110-001-password-guessing|T1110.001]]) Uma vez identificado um alvo, os operadores iniciam força bruta contra a porta RDP exposta usando: - Wordlists de credenciais comuns: - `admin:admin`, `administrator:password`, `admin:123456`, `administrador:senha` - Nomes de usuário default: `admin`, `Administrator`, `Administrador`, `root`, `RDP` - Senhas sazonais: `Medusa2024!`, `Senha123`, `Univers@123` (para educação) - Credenciais específicas de setor: `healthadmin`, `hospital123` (saúde) - Ferramentas de força bruta: - **Hydra** — paralelização até 64 threads, 1000+ tentativas/segundo - **Crowbar** — especializado em RDP, bypass parcial de raté-limiting - **Remmina** (headless) — autentica contra RDP sem interface - Taxa de sucesso: 8-15% das redes alvo com RDP exposto possuem credenciais fracas ou default ### Fase 3 — Acesso Inicial e Persistência ([[t1021-003-remote-services-rdp|T1021.003]]) Após credenciais bem-sucedidas, o operador: 1. Estabelece sessão RDP interativa como usuário `administrator` ou conta administrativa equivalente 2. Desabilita Windows Defender via PowerShell ([[t1562-001-disable-or-modify-tools|T1562.001]]): ```powershell Set-MpPreference -DisableRealtimeMonitoring $true ``` 3. Cria usuário backdoor persistente: ```powershell net user backupadmin "Medusa@2024" /add /active:yes net localgroup Administrators backupadmin /add ``` 4. Configura RDP para aceitar múltiplas sessões simultâneas (registro): ``` HKLM\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections = 0 ``` ### Fase 4 — Reconhecimento e Enumeração de Domínio Uma vez com acesso RDP, o operador executa scripts de enumeração: - **Bloodhound.ps1** — mapeamento completo de confiança de domínio, grupos, permissões - **nltest /domain_trusts** — identifica domínios confiáveis para movimento lateral - **net group "Domain Admins" /domain** — lista administradores de domínio - **Get-DomainController** — identifica controlador de domínio primário - **dir \\\\DC\\sysvol\\** — lista de políticas de grupo em execução - Varredura SMB: **nmap -sV -p 445 10.x.x.0/24** — descobre compartilhamentos de rede Foco específico em **data hotspots**: pastas de RH, financeiro, médico, pesquisa acadêmica. ### Fase 5 — Movimento Lateral ([[t1570-lateral-tool-transfer|T1570]]) O atacante usa credenciais comprometidas ou exploração de confiança para mover-se horizontalmente: 1. **PsExec ou Impacket psexec.py** — executa comandos remotamente no DC: ```bash psexec.py -hashes HASH admin@DC-NAME cmd.exe ``` 2. **RDP em cascata** — abre sessão RDP de um servidor para outro usando credenciais de domínio 3. **LOLBAS** ([[t1218-windows-built-in-functionality|T1218]]) — uso de ferramentas Windows legítimas: - `wmic process call creaté` — execução remota - `schtasks` — tarefa agendada remota - `winrm` — Windows Remote Management para PowerShell remoto A penetração típica avança em 2-3 hops até atingir o controlador de domínio com compromisso total. ### Fase 6 — Exfiltração de Dados ([[t1020-automated-exfiltration|T1020]]) Com acesso ao domínio, os operadores exfiltram dados em paralelo com cifra: - **Rclone** — cópia massiva para servidores em nuvem (AWS S3, Azure Blob, Mega.nz) ```bash rclone copy \\DC\sysvol\Policies D:\leaked --multi-thread-streams 8 ``` - **7zip com encriptação AES-256** — compacta e protege dados antes de upload - Foco em: - Bancos de dados de saúde (prontuários eletrônicos) - Dados financeiros (folha de pagamento, extratos) - Pesquisa acadêmica (teses, propriedade intelectual) - Segredos comerciais (planejamento estratégico, preços) Tempo típico: 2-7 dias entre acesso inicial e início de exfiltração. ### Fase 7 — Cifra e Detonação do Ransomware ([[t1486-data-encrypted-for-impact|T1486]]) Uma vez exfiltrados dados críticos, o malware Medusa é detonado: 1. **Deploy via GPO malicioso** — injeta script de cifra na política de grupo do domínio 2. **Execução em cascata** — todo máquina no domínio recebe ordem de criptografia no próximo boot ou imediatamente 3. **Encryption**: Medusa usa **RSA-2048 + AES-256**: - AES-256 para cifrar arquivos (rápido) - RSA-2048 para cifrar chave AES (impossível quebrar sem chave privada dos atacantes) 4. **Extensão de arquivo** — `.medusa` ou `.lockbit` (cópia da infraestrutura) 5. **Nota de resgate** — arquivo `README.txt` em cada pasta: ``` Todos seus arquivos foram criptografados. Para recuperar: acesse http://mediodiaxxxxx.onion Tempo limite: 7 dias Custo: 2-15 BTC conforme tamanho da empresa ``` ## TTPs Mapeados | Fase | TTP | MITRE ID | Descrição | |------|-----|----------|-----------| | Reconhecimento | Varredura de porta | [[t1046-network-service-scanning\|T1046]] | Shodan/Censys para localizar RDP 3389 | | Força Bruta | Brute Force RDP | [[t1110-001-password-guessing\|T1110.001]] | Hydra/Crowbar contra credenciais admin | | Acesso | Serviços Remotos (RDP) | [[t1021-003-remote-services-rdp\|T1021.003]] | Acesso interativo ao Windows via RDP | | Persistência | Criação de Conta | [[t1136-001-local-account\|T1136.001]] | Usuário backdoor `backupadmin` | | Defesa | Desabilitar Ferramentas | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desabilitar Windows Defender | | Descoberta | Enumeração Domínio | [[t1087-001-local-account-discovery\|T1087.001]] | Bloodhound, `net group` | | Descoberta | Compartilhamentos Rede | [[t1135-network-share-discovery\|T1135]] | `net view`, SMB scanning | | Movimento | Ferramenta Lateral | [[t1570-lateral-tool-transfer\|T1570]] | PsExec, Impacket | | Exfiltração | Exfiltração Automatizada | [[t1020-automated-exfiltration\|T1020]] | Rclone para nuvem | | Impacto | Encriptação de Dados | [[t1486-data-encrypted-for-impact\|T1486]] | Medusa ransomware RSA-2048 + AES-256 | ## Detecção | Etapa | Indicador | Ferramenta | |-------|-----------|-----------| | Reconhecimento | Shodan API queries para IP corporativo | Security Posture Audit | | Força Bruta | Múltiplas tentativas RDP falhadas (Event 4625) | SIEM / Sysmon | | Acesso | Logon RDP em horário anômalo (madrugada) | SIEM / Splunk | | Acesso | Logon RDP de país fora de LATAM | Geo-blocking / SIEM | | Persistência | Novo usuário em grupo Administrators | Sysmon Event 13 (Registry) | | Defesa | `Set-MpPreference -DisableRealtimeMonitoring` execução | EDR / PowerShell Logging | | Enumeração | `Get-ADDomain`, `net group` execução | EDR / Sysmon Process Creation | | Movimento | PsExec ou conexão RDP secundária | Network detection / Firewall logs | | Exfiltração | Rclone.exe criado ou executado | EDR File Creation / Process Execution | | Exfiltração | Tráfego para AWS S3 / Azure Blob | Egress Monitoring / DLP | | Cifra | Modificação massiva de extensão de arquivo | EDR / Behavior Monitoring | | Cifra | CPU anômalo em múltiplas máquinas simultaneamente | SIEM / Monitoring | | Cifra | Arquivo `README.txt` em shares de rede | SIEM / File Integrity Monitoring | ## Contexto Brasil/LATAM No Brasil, o Medusa é uma das variantes de ransomware mais prevalentes em 2024-2025, com foco particular em **organizações de saúde com RDP exposto**. Hospitais e clínicas frequentemente mantêm RDP aberto para acesso remoto de médicos e consultores, sem MFA ou raté-limiting. A campanha afeta especialmente: - **Setor Saúde**: hospitais municipais e privados de médio porte (50-500 leitos) — dados sensíveis (prontuários) justificam altos valores de resgate (5-10 BTC) - **Setor Educação**: universidades federais e estaduais com RDP para VPN legado — Medusa exfiltra pesquisa acadêmica valiosa - **PMEs e Serviços**: empresas contábeis, jurídicas com poucos recursos de segurança — maior probabilidade de pagamento A operação é facilitada pelo baixo custo de infraestrutura na LATAM (VPS em Rusia ou BulgarIa por USD 5-10/mês), ausência de extradição de operadores e demanda ainda alta por resgate em criptomoedas via exchanges de LATAM (Mercado Bitcoin, Ripio). Organizações brasileiras comprometidas em 2024 incluem [[hospital-santa-paula|Hospital Santa Paula]] (São Paulo), [[universidade-federal-fluminense|Universidade Federal Fluminense]] e múltiplas PMEs regionais. Tempo médio entre acesso inicial e cifra: **3-5 dias**. ## Mitigações 1. **Segmentação de rede** — isolar RDP em subredes administrativas atrás de VPN obrigatória (não RDP exposto) 2. **MFA em RDP** — forçar autenticação multifator (TOTP via Microsoft Authenticator) — elimina efetividade de força bruta 3. **WAF / Raté-limiting RDP** — limitar tentativas de login a 5/min por IP — desabilita força bruta 4. **EDR comportamental** — detectar desabilitação de antivírus, criação de usuário administrativo, movimento lateral via PsExec 5. **Bloqueio de ferramentas suspeitas** — blacklist Rclone, 7zip, psexec.exe via Application Control (AppLocker/WDAC) 6. **Backup imutável** — backup offline de dados críticos, isolado de rede corporativa 7. **Monitoramento de DNS/Egress** — alertar em tentativas de conexão a servidores C2 ou nuvem pública desconhecida 8. **Incident Response Plan** — treino de equipe em plano de resposta a ransomware (isolamento, notificação, backup recovery) ## Referências - [[medusa-ransomware-operators|Medusa Ransomware Operators]] — grupo operador - [[medusa-latam-healthcare-2024|Medusa LATAM Healthcare Campaign 2024]] — campanha principal - [[t1110-brute-force|T1110 - Brute Force]] — técnica de força bruta - [[t1021-003-remote-services-rdp|T1021.003 - Remote Services (RDP)]] — acesso via RDP - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] — cifra ransomware - [[healthcare|Setor Saúde]] — setor alvo primário - [[education|Setor Educação]] — setor alvo secundário - [[brasil|Brasil]] — foco geográfico --- *Fonte: [CISA — Medusa Ransomware Alert 2024](https://www.cisa.gov/news-events/alerts/2024/03/15/medusa-ransomware)* *Fonte: [Crowdstrike — Global Threat Report 2024](https://www.crowdstrike.com/global-threat-report/)* *Fonte: [Zscaler — LATAM Ransomware Report 2024](https://www.zscaler.com/resources/security-research-reports)*