# TA0040 — Impact ## Descrição O Impacto representa a fase final de um ataque — o momento em que o adversário **executa seu objetivo destrutivo ou disruptivo**. É a culminação de todas as fases anteriores: o adversário agora tem acesso privilegiado, moveu-se lateralmente pela rede e está pronto para causar o dano máximo. Para grupos criminosos, isso significa cifrar dados para ransomware; para grupos hacktivistas ou nação-estado, pode ser destruição de dados (wiper), interrupção de serviços ou sabotagem de infraestrutura crítica. As técnicas de impacto têm consequências imediatas e visíveis para a organização: sistemas inoperantes, dados cifrados, serviços indisponíveis, dados destruídos. O impacto financeiro médio de um incidente de ransomware no Brasil ultrapassa R$ 5 milhões quando considerados tempo de inatividade, custos de recuperação e danos reputacionais — sem contar o valor do resgate. Grupos como [[g0034-sandworm|Sandworm]] utilizam técnicas de impacto com objetivos estratégicos — os wipers NotPetya (2017) e Industroyer2 (2022) causaram bilhões em danos não para lucro financeiro, mas para disrupção de infraestrutura crítica ucraniana. Essa distinção — impacto destrutivo versus impacto financeiro — define as motivações do adversário. ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["Acesso Inicial"]:::inactive IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["💥 Impacto"]:::active classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Impact") SORT mitre-id ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Impact") SORT mitre-id ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Impact") SORT mitre-id ASC --> | Nota | ID | Técnica | Plataformas | | ------------------------------------------------------------------------------------------------------------------------- | --------- | ---------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------- | | [[t1485-data-destruction\|T1485 - Data Destruction]] | T1485 | T1485 - Data Destruction | <ul><li>Containers</li><li>ESXi</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1485-001-lifecycle-triggered-deletion\|T1485.001 - Lifecycle-Triggered Deletion]] | T1485.001 | T1485.001 - Lifecycle-Triggered Deletion | <ul><li>IaaS</li></ul> | | [[t1486-data-encrypted-for-impact\|T1486 - Data Encrypted for Impact]] | T1486 | T1486 - Data Encrypted for Impact | <ul><li>ESXi</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1489-service-stop\|T1489 - Service Stop]] | T1489 | T1489 - Service Stop | <ul><li>ESXi</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1490-inhibit-system-recovery\|T1490 - Inhibit System Recovery]] | T1490 | T1490 - Inhibit System Recovery | <ul><li>Containers</li><li>ESXi</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1491-defacement\|T1491 - Defacement]] | T1491 | T1491 - Defacement | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>ESXi</li></ul> | | [[t1491-001-internal-defacement\|T1491.001 - Internal Defacement]] | T1491.001 | T1491.001 - Internal Defacement | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1491-002-external-defacement\|T1491.002 - External Defacement]] | T1491.002 | T1491.002 - External Defacement | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li></ul> | | [[t1495-firmware-corruption\|T1495 - Firmware Corruption]] | T1495 | T1495 - Firmware Corruption | <ul><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1496-resource-hijacking\|T1496 - Resource Hijacking]] | T1496 | T1496 - Resource Hijacking | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Containers</li><li>SaaS</li></ul> | | [[t1496-001-compute-hijacking\|T1496.001 - Compute Hijacking]] | T1496.001 | T1496.001 - Compute Hijacking | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Containers</li></ul> | | [[t1496-002-bandwidth-hijacking\|T1496.002 - Bandwidth Hijacking]] | T1496.002 | T1496.002 - Bandwidth Hijacking | <ul><li>Linux</li><li>Windows</li><li>macOS</li><li>IaaS</li><li>Containers</li></ul> | | [[t1496-003-sms-pumping\|T1496.003 - SMS Pumping]] | T1496.003 | T1496.003 - SMS Pumping | <ul><li>SaaS</li></ul> | | [[t1496-004-cloud-service-hijacking\|T1496.004 - Cloud Service Hijacking]] | T1496.004 | T1496.004 - Cloud Service Hijacking | <ul><li>SaaS</li></ul> | | [[t1498-network-denial-of-service\|T1498 - Network Denial of Service]] | T1498 | T1498 - Network Denial of Service | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Containers</li></ul> | | [[t1498-001-direct-network-flood\|T1498.001 - Direct Network Flood]] | T1498.001 | T1498.001 - Direct Network Flood | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li></ul> | | [[t1498-002-reflection-amplification\|T1498.002 - Reflection Amplification]] | T1498.002 | T1498.002 - Reflection Amplification | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li></ul> | | [[t1499-endpoint-denial-of-service\|T1499 - Endpoint Denial of Service]] | T1499 | T1499 - Endpoint Denial of Service | <ul><li>Windows</li><li>Linux</li><li>macOS</li><li>Containers</li><li>IaaS</li></ul> | | [[t1499-001-os-exhaustion-flood\|T1499.001 - OS Exhaustion Flood]] | T1499.001 | T1499.001 - OS Exhaustion Flood | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1499-002-service-exhaustion-flood\|T1499.002 - Service Exhaustion Flood]] | T1499.002 | T1499.002 - Service Exhaustion Flood | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li></ul> | | [[t1499-003-application-exhaustion-flood\|T1499.003 - Application Exhaustion Flood]] | T1499.003 | T1499.003 - Application Exhaustion Flood | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li></ul> | | [[t1499-004-application-or-system-exploitation\|T1499.004 - Application or System Exploitation]] | T1499.004 | T1499.004 - Application or System Exploitation | <ul><li>Windows</li><li>IaaS</li><li>Linux</li><li>macOS</li></ul> | | [[t1529-system-shutdownreboot\|T1529 - System Shutdown/Reboot]] | T1529 | T1529 - System Shutdown/Reboot | <ul><li>ESXi</li><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1531-account-access-removal\|T1531 - Account Access Removal]] | T1531 | T1531 - Account Access Removal | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>SaaS</li><li>IaaS</li><li>Office Suite</li><li>ESXi</li></ul> | | [[t1561-disk-wipe\|T1561 - Disk Wipe]] | T1561 | T1561 - Disk Wipe | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1561-001-disk-content-wipe\|T1561.001 - Disk Wipe: Disk Content Wipe]] | T1561.001 | T1561.001 - Disk Wipe: Disk Content Wipe | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1561-002-disk-structure-wipe\|T1561.002 - Disk Structure Wipe]] | T1561.002 | T1561.002 - Disk Structure Wipe | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>Network Devices</li></ul> | | [[t1565-data-manipulation\|T1565 - Data Manipulation]] | T1565 | T1565 - Data Manipulation | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1565-001-stored-data-manipulation\|T1565.001 - Stored Data Manipulation]] | T1565.001 | T1565.001 - Stored Data Manipulation | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1565-002-transmitted-data-manipulation\|T1565.002 - Transmitted Data Manipulation]] | T1565.002 | T1565.002 - Transmitted Data Manipulation | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1565-003-runtime-data-manipulation\|T1565.003 - Runtime Data Manipulation]] | T1565.003 | T1565.003 - Runtime Data Manipulation | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1582-sms-control\|T1582 - SMS Control]] | T1582 | T1582 - SMS Control | <ul><li>Android</li><li>iOS</li></ul> | | [[t1657-financial-theft\|T1657 - Financial Theft]] | T1657 | T1657 - Financial Theft | <ul><li>Linux</li><li>macOS</li><li>Office Suite</li><li>SaaS</li><li>Windows</li></ul> | | [[t1667-email-bombing\|T1667 - Email Bombing]] | T1667 | T1667 - Email Bombing | <ul><li>Linux</li><li>Office Suite</li><li>Windows</li><li>macOS</li></ul> | <!-- SerializedQuery END --> ## Mindmap — Técnicas de Impacto ```mermaid mindmap root((TA0040<br/>Impact)) Ransomware T1486 Data Encrypted for Impact Ciframento com ChaCha20/AES Nota de Resgaté Dupla Extorsão Destruição T1485 Data Destruction T1561 Disk Wipe Wiper Malware NotPetya / Industroyer Disrupção de Serviços T1489 Service Stop T1490 Inhibit System Recovery Parar SQL/Exchange/AD Deletar Shadow Copies Manipulação T1491 Defacement T1496 Resource Hijacking Cryptomining DDoS via Botnet ICS/OT T0879 Damage to Property T0826 Loss of Availability Industroyer2 TRITON/TRISIS ``` ## Atores que Utilizam esta Tática | Ator | Técnica de Impacto e Motivação | |------|-------------------------------| | [[lockbit\|LockBit Operators]] | T1486 — ransomware, extorsão financeira | | [[TA505]] | T1486 — ransomware dupla extorsão em volume | | [[g0034-sandworm\|Sandworm]] | T1561 Disk Wipe — NotPetya, Industroyer2, sabotagem estratégica | | [[g0032-lazarus-group\|Lazarus Group]] | T1486 WannaCry, roubo financeiro via impacto | | [[rhysida\|Rhysida Ransomware]] | T1486 — múltiplos ataques a hospitais e governo no Brasil | ## Detecção e Mitigação ### Detecção - **EDR:** Alertas para cifragem massiva de arquivos (ransomware behavior) — I/O anômalo - **Sysmon Event ID 1:** Processos com argumentos de deleção de shadow copies (`vssadmin delete`) - **Event ID 7036:** Serviços críticos parados (SQL Server, AD, Exchange) - **Honeypot Files:** Arquivos isca em compartilhamentos — qualquer modificação é alerta de ransomware - **Backup Monitoring:** Tentativas de acesso ou deleção de sistemas de backup ### Mitigação - **Backup 3-2-1:** 3 cópias, 2 mídias diferentes, 1 offsite (imutável/air-gapped) - **Backups Imutáveis:** Armazenamento com Object Lock (AWS S3, Azure Blob) — não podem ser deletados por adversário - **Restringir vssadmin:** Group Policy impedindo execução de vssadmin por usuários comuns - **EDR com Anti-Ransomware:** Rollback de arquivos cifrados (CrowdStrike, SentinelOne) - **Incident Response Plan:** Procedimentos testados para restauração de backup sob pressão ## Relevância LATAM/Brasil O Brasil é consistentemente listado entre os países mais afetados por ransomware na América Latina. Grupos como [[lockbit|LockBit]], [[play-ransomware|Play]], [[rhysida|Rhysida]] e [[black-basta|Black Basta]] têm registros públicos de ataques a hospitais, prefeituras, empresas de energia e organizações financeiras brasileiras. O setor de [[healthcare|saúde]] brasileiro é particularmente vulnerável — sistemas hospitalares com infraestrutura legada, sem EDR e com backups inadequados são alvos preferênciais. O impacto vai além do financeiro: atrasos em procedimentos médicos causados por ransomware já representaram risco direto a vidas. O wiper malware, embora menos comum no contexto criminoso brasileiro, aparece em operações de hacktivismo político — grupos como Anonymous Brasil e afiliados têm usado variantes simplificadas de data destruction em ataques a sites governamentais. - [[ta0010-exfiltration|TA0010 - Exfiltration]] — fase anterior (roubo de dados) - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] — ransomware - [[t1485-data-destruction|T1485 - Data Destruction]] — destruição de dados - [[t1561-disk-wipe|T1561 - Disk Wipe]] — wiper malware - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] — deleção de shadow copies - [[t1489-service-stop|T1489 - Service Stop]] — parada de serviços críticos - [[lockbit|LockBit Operators]] — grupo de ransomware com ataques no Brasil - [[g0034-sandworm|Sandworm]] — referência de impacto destrutivo nação-estado - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0040-*|MITRE ATT&CK - TA0040 Impact]] - [Kaspersky LATAM — Ransomware Report](https://latam.kaspersky.com/blog/) - [CERT.br — Incidentes de Ransomware no Brasil](https://www.cert.br/stats/)