t1485-data-destruction

# T1485 - Data Destruction ## Descrição Data Destruction é uma técnica de impacto em que adversários destroem dados e arquivos em sistemas individuais ou em toda a rede para interromper a disponibilidade de sistemas, serviços e recursos. Diferentemente de simples exclusão de arquivos com comandos como `del` ou `rm` - que removem apenas ponteiros no sistema de arquivos sem sobrescrever o conteúdo -, a destruição efetiva envolve sobrescrever os dados com padrões aleatórios ou sequências de zeros, tornando a recuperação forense inviável. Essa técnica se distingue de [[t1561-001-disk-content-wipe|Disk Content Wipe]] e [[t1561-002-disk-structure-wipe|Disk Structure Wipe]] porque atua em arquivos individuais em vez de seções inteiras do disco ou sua estrutura lógica. Para maximizar o impacto em campanhas orientadas à interrupção de operações, malwares destrutivos frequentemente incorporam capacidades de autopropagação inspiradas em worms, combinando Data Destruction com técnicas complementares como [[t1078-valid-accounts|Valid Accounts]], [[t1003-os-credential-dumping|OS Credential Dumping]] e [[Windows Admin Shares]]. Essa combinação permite que um único implante destrua dados em dezenas ou centenas de hosts de forma coordenada em questão de horas. Em ambientes de nuvem, a técnica se manifesta como exclusão de buckets de armazenamento, snapshots de banco de dados, imagens de máquinas virtuais e recursos IaaS críticos - impactando não apenas os dados, mas a capacidade operacional completa da organização. Ferramentas como [[whispergaté|WhisperGaté]] e [[s0697-hermeticwiper|HermeticWiper]] exemplificam a evolução dessas capacidades. **Contexto Brasil/LATAM:** O Brasil e a América Latina têm sido alvos crescentes de ataques destrutivos, frequentemente precedidos por comprometimentos de ransomware que evoluem para destruição total quando o pagamento não ocorre. O grupo [[g1004-lapsus|LAPSUS$]] - originado no Brasil - realizou ataques combinando exfiltração com ameaça de destruição contra alvos como Localiza, Embratur e Claro Brasil entre 2021 e 2022. [[g1053-storm-0501|Storm-0501]] tem demonstrado interesse em ambientes de infraestrutura crítica na América Latina, combinando ransomware com capacidades de wiper. Em contextos de geopolítica regional, campanhas de destruição de dados contra governos latinoamericanos têm sido associadas a operações de influência e sabotagem patrocinadas por Estados, seguindo o padrão documentado pelo [[g0034-sandworm|Sandworm Team]] na Ucrânia com ferramentas como [[s0604-industroyer|Industroyer]] e [[s1125-acidrain|AcidRain]]. ## Attack Flow ```mermaid graph TB A["Acesso Inicial (Phishing / Exploit)"] --> B["Movimento Lateral (Credenciais / SMB)"] B --> C["Escalada de Privilégios (Admin / SYSTEM)"] C --> D["Destruição de Dados T1485"]:::highlight D --> E["Impacto Operacional (Indisponibilidade Total)"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação:** O adversário obtém acesso privilegiado ao ambiente - sejá por comprometimento de credenciais via [[t1003-os-credential-dumping|OS Credential Dumping]], exploração de vulnerabilidades em servidores expostos, ou movimento lateral via [[Windows Admin Shares]]. Antes de iniciar a destruição, é comum que os dados de maior valor já tenham sido exfiltrados para servidores de C2 - especialmente em operações combinadas de ransomware e wiper, como documentado nas campanhas do [[g0032-lazarus-group|Lazarus Group]] e do [[g0034-sandworm|Sandworm Team]]. O adversário também pode desabilitar backups automáticos e serviços de recuperação (VSS, shadow copies) para inviabilizar a restauração. **Execução:** Com privilégios adequados e backups neutralizados, o implante destrutivo é ativado - sejá por gatilho temporal, por comando remoto do operador, ou automaticamente após atingir um limiar de propagação. A sobrescrita de dados pode usar padrões aleatórios, zeros, ou conteúdo político/simbólico (como imagens) para sobrescrever arquivos. Em ambientes Windows, ferramentas como `cipher /w`, `sdelete`, ou código nativo usando `WriteFile` em modo de overwrite são utilizadas. Em ambientes Linux, `shred` e `dd` cumprem função similar. Malwares avançados como [[s0140-shamoon|Shamoon]] e [[s1134-deadwood|DEADWOOD]] implementam drivers de baixo nível para sobrescrever arquivos diretamente no nível de bloco. **Pós-execução:** Após a destruição em massa, o adversário pode apagar os próprios logs de eventos e trilhas de auditoria para dificultar a investigação forense. Em operações de Estado, a fase pós-execução pode incluir mensagens públicas reivindicando a autoria como forma de demonstração de força. Para a organização vítima, o resultado é frequentemente a necessidade de restauração completa a partir de backups offsite - se existirem - ou reconstrução do ambiente, com tempo médio de recuperação (MTTR) de dias a semanas dependendo da extensão do dano e da maturidade do plano de continuidade. ## Detecção A detecção de destruição de dados em massa requer monitoramento de padrões anômalos de acesso e modificação de arquivos em alta velocidade. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4663 | Security | Acesso a objetos - volume anômalo de escritas em arquivos em curto intervalo (>100 arquivos/min) | | 4688 | Security | Criação de processo - `cipher.exe /w`, `sdelete.exe`, `vssadmin delete shadows`, `wbadmin delete catalog` | | 7036 | System | Serviço alterado - VSS (Volume Shadow Copy) parado ou desativado inesperadamente | | 524 | System | Backup do catálogo deletado - indica tentativa de inviabilizar recuperação via Windows Server Backup | | 1 | Sysmon | Process Creaté - identificar uso de `wbadmin`, `vssadmin`, `bcdedit /set {default} bootstatuspolicy ignoreallfailures` | **Sigma Rule:** ```yaml title: Mass File Overwrite or Deletion Indicating Data Destruction id: f2b8c3e1-7a4d-4b92-9f1e-3c8d5a7b2f96 status: stable description: Detecta padrões indicativos de destruição de dados em massa - sobrescrita de arquivos em alta velocidade, deleção de shadow copies e neutralização de backups author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_backup_deletion: Image|endswith: - '\vssadmin.exe' - '\wbadmin.exe' - '\bcdedit.exe' CommandLine|contains: - 'delete shadows' - 'delete catalog' - 'bootstatuspolicy ignoreallfailures' - 'recoveryenabled No' selection_wipe_tools: Image|endswith: - '\cipher.exe' - '\sdelete.exe' - '\format.com' CommandLine|contains: - '/w:' - '-p ' - '/p ' selection_dd_linux: Image|endswith: - '/dd' - '/shred' CommandLine|contains: - 'if=/dev/zero' - 'if=/dev/urandom' condition: selection_backup_deletion or selection_wipe_tools or selection_dd_linux falsepositives: - Operações legítimas de limpeza segura de disco (IT/segurança) - válidar com chamado de TI - Testes de DR e backup agendados level: critical tags: - attack.impact - attack.t1485 ``` ## Mitigação | ID | Mitigação | Orientação para organizações brasileiras | |----|-----------|------------------------------------------| | M1053 | [[m1053-data-backup\|M1053 - Data Backup]] | Implementar backups imutáveis (WORM) offsite e offline - em conformidade com a LGPD, manter cópias de dados pessoais com proteção extra; testar restauração trimestralmente | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir MFA para acesso a consoles de backup, armazenamento em nuvem e painéis administrativos - impede que credenciais comprometidas sejam usadas para destruição de backups | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Aplicar princípio do menor privilégio - nenhum usuário de serviço deve ter permissão de exclusão em massa; usar contas separadas para administração de backup com acesso just-in-time | | Proteção de VSS | Bloquear deleção de shadow copies | Configurar SACL (System ACL) no Volume Shadow Copy Service para alertar e bloquear tentativas de exclusão por processos não autorizados | | Detecção comportamental | Monitorar taxa de modificação de arquivos | Implementar alertas em SIEM para picos anômalos de operações de escrita/deleção - threshold de >500 arquivos modificados/min por um único processo deve gerar alerta crítico | | Segmentação de rede | Limitar propagação lateral | Restringir tráfego SMB entre segmentos de rede - impede que wipers se propaguem via shares administrativos como documentado em campanhas do [[g0034-sandworm\|Sandworm Team]] | | Proteção de infraestrutura de nuvem | Políticas de deleção com aprovação | No AWS/Azure/GCP, implementar políticas de MFA para delete em buckets S3, blob storage e exclusão de VMs; ativar Versioning e Object Lock em buckets críticos | ## Threat Actors - [[g1004-lapsus|LAPSUS$]] - grupo originado no Brasil com histórico de ataques combinando exfiltração de dados e ameaças de destruição contra empresas de tecnologia e telecomúnicações brasileiras; responsável por ataques à Claro Brasil, Localiza e outras organizações de destaque na região. - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano com amplo portfólio de malwares destrutivos; utiliza destruição de dados como mecanismo de coerção em operações de extorsão contra o setor financeiro global, incluindo o [[g0082-apt38|APT38]] como braço especializado em ataques a bancos. - [[g1053-storm-0501|Storm-0501]] - grupo de ransomware com capacidades de wiper que tem demonstrado interesse crescente em infraestrutura crítica latino-americana; combina exfiltração com destruição quando negociações de resgate falham. - [[g0082-apt38|APT38]] - subgrupo do Lazarus especializado em crimes financeiros; documentado destruindo evidências após roubos em bancos via SWIFT - padrão de cobertura de trilhas com relevância direta para o sistema bancário brasileiro. - [[g0034-sandworm|Sandworm Team]] - grupo russo do GRU considerado o mais destrutivo do mundo; responsável pelos ataques à infraestrutura crítica ucraniana com ferramentas como [[s0604-industroyer|Industroyer]], [[s0697-hermeticwiper|HermeticWiper]] e [[s1125-acidrain|AcidRain]] - serve como referência de capacidade para avaliar ameaças a infraestrutura crítica brasileira. ## Software Associado - [[s0659-diavol|Diavol]] - ransomware com capacidade de destruição de arquivos não recuperável, associado ao grupo TrickBot/Conti com ataques a organizações no Brasil e LATAM. - [[whispergaté|WhisperGaté]] - wiper disfarçado de ransomware usado contra a Ucrânia em 2022; referência técnica para detecção de wipers que imitam comportamento de ransomware para dificultar classificação forense. - [[s0604-industroyer|Industroyer]] - malware do Sandworm direcionado a sistemas de controle industrial (ICS/SCADA); altamente relevante para o setor de energia elétrica brasileiro dado o tamanho da infraestrutura crítica do país. - [[s0341-xbash|Xbash]] - malware multiplataforma com capacidades combinadas de worm, ransomware e destruição de dados; ataca bancos de dados Linux e serviços Windows simultaneamente. - [[s1125-acidrain|AcidRain]] - wiper para modems e roteadores satelitais usado para destruir comúnicações durante a invasão da Ucrânia; exemplo de destruição de dados em dispositivos embarcados de infraestrutura. - [[s0496-revil|REvil]] - ransomware-as-a-service com capacidade de destruição de dados quando o resgate não é pago; responsável por ataques a organizações brasileiras de médio e grande porte. - [[s0265-kazuarv2|Kazuar]] - backdoor multifuncional do grupo Turla com módulo de destruição de arquivos usado em operações de espionagem de longa duração. - [[s0697-hermeticwiper|HermeticWiper]] - wiper sofisticado que destrói o MBR e corrompe o sistema de arquivos; exemplo de malware destrutivo altamente eficaz com técnicas de baixo nível que dificultam recuperação. - [[s1134-deadwood|DEADWOOD]] - wiper que sobrescreve arquivos com dados aleatórios e elimina shadow copies; documentado em ataques contra o Oriente Médio com capacidade de propagação lateral. - [[s0140-shamoon|Shamoon]] - wiper histórico com múltiplas versões usadas contra a indústria petrolífera do Oriente Médio; referência técnica de como ataques destrutivos podem paralisar setores inteiros - padrão relevante para o setor de petróleo e gás brasileiro. ## Sub-técnicas - [[t1485-001-lifecycle-triggered-deletion|T1485.001 - Lifecycle-Triggered Deletion]]