_exfiltration - RunkIntel

# Exfiltração ```mermaid graph TB A["📦 Dados Coletados TA0009 Concluida"] --> B["📡 Via Canal C2 T1041 - Exfil Over C2"] A --> C["🌐 Via Servico Web T1567 - Cloud / Webhook"] A --> D["🔀 Protocolo Alternativo T1048 - DNS / FTP / SMTP"] A --> E["💾 Midia Fisica T1052 - USB / Removivel"] B --> F["🏴 Dados no Controle do Atacante"] C --> F D --> F E --> F F --> G["⚡ Impacto / Extorsao TA0040"] ``` > [!info] Visão Geral > A tática de Exfiltração (TA0010) cobre as técnicas usadas para remover dados do ambiente da vitima para um sistema controlado pelo atacante. E o objetivo final de campanhas de espionagem e uma etapa critica em ataques de ransomware dupla extorsao, onde os dados sao roubados antes da criptografia para ampliar a pressão sobre a vitima. > **Técnicas:** 22 técnicas cobrindo exfiltração via canal C2, servicos web legitimos, protocolos alternativos e midias fisicas. > **Destaque LATAM:** A dupla extorsao (roubo + criptografia) e o modelo dominante de ransomware no Brasil, com dados exfiltrados antes da criptografia. > [!warning] Contexto Brasil/LATAM > Grupos de ransomware como **LockBit**, **RansomHub** e **Medusa** exfiltram dados de empresas brasileiras via **T1567 (Exfiltration Over Web Service)**, frequentemente usando servicos de armazenamento cloud legitimos (Mega.nz, Dropbox) para evitar detecção por DLP. O setor financeiro e governo brasileiro sao alvos prioritarios de campanhas de espionagem que utilizam **T1041** para exfiltrar documentos sensíveis silenciosamente por semanas antes de serem detectadas. Campanhas do **Blind Eagle** contra entidades colombianas e brasileiras também documentam uso de **T1048** via protocolos alternativos. > **22 técnicas** · Extração de dados do ambiente comprometido - transferência via C2, cloud, mídias físicas. %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nome" FROM "ttp/techniques/exfiltration" WHERE type = "technique" SORT title ASC ``` %%   | Nota | Nome | | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------ | | [[t1011-exfiltration-over-other-network-medium\|T1011 - Exfiltração por Outro Meio de Rede]] | T1011 - Exfiltração por Outro Meio de Rede | | [[t1011-001-exfiltration-over-bluetooth\|T1011.001 - Exfiltração por Bluetooth]] | T1011.001 - Exfiltração por Bluetooth | | [[t1020-automated-exfiltration\|T1020 - Exfiltração Automatizada]] | T1020 - Exfiltração Automatizada | | [[t1020-001-traffic-duplication\|T1020.001 - Traffic Duplication]] | T1020.001 - Traffic Duplication | | [[t1029-scheduled-transfer\|T1029 - Scheduled Transfer]] | T1029 - Scheduled Transfer | | [[t1030-data-transfer-size-limits\|T1030 - Data Transfer Size Limits]] | T1030 - Data Transfer Size Limits | | [[t1041-exfiltration-c2\|T1041 - Exfiltration Over C2 Channel]] | T1041 - Exfiltration Over C2 Channel | | [[t1041-exfiltration-over-c2-channel\|T1041 - Exfiltration Over C2 Channel]] | T1041 - Exfiltration Over C2 Channel | | [[t1048-exfiltration-alternative-protocol\|T1048 - Exfiltration Over Alternative Protocol]] | T1048 - Exfiltration Over Alternative Protocol | | [[t1048-exfiltration-over-alternative-protocol\|T1048 - Exfiltration Over Alternative Protocol]] | T1048 - Exfiltration Over Alternative Protocol | | [[t1048-001-exfiltration-over-symmetric-encrypted-non-c2-protocol\|T1048.001 - Exfiltration Over Symmetric Encrypted Non-C2 Protocol]] | T1048.001 - Exfiltration Over Symmetric Encrypted Non-C2 Protocol | | [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol\|T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol]] | T1048.002 - Exfiltration Over Asymmetric Encrypted Non-C2 Protocol | | [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol\|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] | T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol | | [[t1052-exfiltration-over-physical-medium\|T1052 - Exfiltration Over Physical Medium]] | T1052 - Exfiltration Over Physical Medium | | [[t1052-001-exfiltration-over-usb\|T1052.001 - Exfiltration over USB]] | T1052.001 - Exfiltration over USB | | [[t1537-transfer-data-to-cloud-account\|T1537 - Transfer Data to Cloud Account]] | T1537 - Transfer Data to Cloud Account | | [[t1567-exfiltration-over-web-service\|T1567 - Exfiltration Over Web Service]] | T1567 - Exfiltration Over Web Service | | [[t1567-001-exfiltration-to-code-repository\|T1567.001 - Exfiltration to Code Repository]] | T1567.001 - Exfiltration to Code Repository | | [[t1567-002-exfiltration-cloud-storage\|T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage]] | T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage | | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002 - Exfiltration to Cloud Storage]] | T1567.002 - Exfiltration to Cloud Storage | | [[t1567-003-exfiltration-to-text-storage-sites\|T1567.003 - Exfiltration to Text Storage Sites]] | T1567.003 - Exfiltration to Text Storage Sites | | [[t1567-004-exfiltration-over-webhook\|T1567.004 - Exfiltration Over Webhook]] | T1567.004 - Exfiltration Over Webhook |  --- **Navegação:** [[_techniques|Técnicas]] · [[_tactics|Táticas]] · [[_procedures|Procedimentos]]