# T1486 - Data Encrypted for Impact ## Descrição T1486 - Data Encrypted for Impact é a técnica central do ransomware moderno: o adversário criptografa arquivos no sistema-alvo ou em múltiplos sistemas de uma rede para interromper a disponibilidade de dados e serviços. A criptografia é aplicada a documentos Office, PDFs, imagens, bancos de dados e código-fonte - práticamente qualquer tipo de arquivo com valor operacional - e a chave de descriptografia é retida pelo atacante como moeda de resgate. Em variantes destrutivas (wiper), a chave simplesmente não é gerada ou é descartada, tornando a recuperação impossível mesmo após o pagamento. Grupos de ransomware modernos operam modelos de extorsão dupla ou tripla: além de criptografar, exfiltram os dados antes ([[t1041-exfiltration-over-c2-channel|Exfiltration Over C2 Channel]]) e ameaçam publicá-los em sites de vazamento. Para maximizar o impacto, o malware frequentemente incorpora mecanismos de propagação lateral, explorando [[t1078-valid-accounts|Valid Accounts]] roubados, compartilhamentos SMB ([[Windows Admin Shares]]) e credenciais obtidas por [[t1003-os-credential-dumping|OS Credential Dumping]]. Hipervisores ESXi se tornaram alvos prioritários em 2024-2025, pois a criptografia de um único servidor virtualizado pode derrubar dezenas de máquinas de uma vez. Em ambientes cloud (AWS, Azure), adversários abusam de serviços nativos de criptografia - como o SSE-C da AWS - para cifrar objetos em buckets S3 sem implantar executável algum. **Contexto Brasil/LATAM:** O Brasil é historicamente o país mais afetado por ransomware na América Latina. Grupos como [[g1024-akira|Akira]], [[g1051-medusa-ransomware|Medusa Group]], [[g1032-inc-ransom|INC Ransom]] e [[g1015-scattered-spider|Scattered Spider]] mantêm páginas de vítimas brasileiras em seus sites de vazamento. Setores críticos nacionais - saúde, governo estadual, portos e logística, agronegócio - são alvos frequentes, em parte pela percepção de baixa maturidade em segurança e alta dependência operacional de sistemas digitais. O ataque ao Porto de Santos (2023), hospitais públicos estaduais, e autarquias municipais de São Paulo e Rio de Janeiro ilustram a escala do problema. Em 2025, [[g1053-storm-0501|Storm-0501]] foi responsável por múltiplos ataques a organizações governamentais brasileiras, usando Cobalt Strike para movimento lateral antes da execução do ransomware. ## Attack Flow ```mermaid graph TB A([Initial Access<br/>Phishing / Exploit]) --> B([Credential Dumping<br/>T1003]) B --> C([Movimento Lateral<br/>SMB / RDP / WMI]) C --> D([Elevação de Privilégio<br/>Domain Admin]) D --> E{Impacto} E -->|Extorsão financeira| F([Criptografia de Arquivos<br/>T1486]) E -->|Destruição| G([Wiper<br/>Chave descartada]) style F fill:#e74c3c,color:#fff style G fill:#c0392b,color:#fff ``` ## Como Funciona ### Preparação O adversário obtém acesso inicial (via phishing, VPN sem MFA, exploit de serviço exposto) e permanece em modo de reconhecimento por dias ou semanas - o chamado "dwell time". Durante esse período, realiza [[t1003-os-credential-dumping|OS Credential Dumping]] para escalar privilégios, mapeia compartilhamentos de rede, identifica servidores de backup e sistemas críticos. O grupo desabilita soluções de segurança ([[t1562-001-disable-or-modify-tools|Disable or Modify Tools]]), apaga logs e, em muitos casos, exfiltra uma cópia dos dados antes da criptografia - garantindo a alavancagem da extorsão dupla. ### Execução O binário de ransomware (ou o script de criptografia) é implantado via GPO, PsExec, ou WMI em todos os hosts mapeados simultaneamente - o "D-Day" do ataque. O malware enumera drives locais e compartilhamentos de rede acessíveis, aplica criptografia simétrica (AES-256) com chave de sessão gerada aleatoriamente, e cifra essa chave com a chave pública RSA do operador. Arquivos de sistema operacional são frequentemente preservados para que a máquina permaneça inicializável (e mostre a nota de resgate). Em ambientes ESXi, a criptografia dos VMDKs derruba todas as VMs hospedadas instantaneamente. ### Pós-execução A nota de resgate é depositada em cada diretório criptografado e no Desktop. Em alguns casos, o wallpaper é alterado ([[t1491-001-internal-defacement|Internal Defacement]]) e impressoras conectadas emitem cópias físicas da nota ("print bombing"). O operador aguarda contato via site .onion ou e-mail anônimo. O tempo médio para detecção de ransomware no Brasil ainda supera 48 horas, o que frequentemente impossibilita a contenção antes que a propagação alcance backups conectados à rede. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Canal | O que indica | |----------|-------|-------------| | 4663 | Security | Acesso em massa a arquivos (Object Access - File System) com operações de escrita/renomeação em sequência rápida | | 4656 | Security | Solicitação de handle para objeto de arquivo em alta frequência - padrão de enumeração pré-criptografia | | 1 | Sysmon | Execução de processo suspeito com argumentos de linha de comando com paths de rede (\\server\share) | | 11 | Sysmon | Criação de arquivos com extensões desconhecidas (`.locked`, `.enc`, `.akira`, `.medusa`) em múltiplos diretórios | | 7036 | System | Parada abrupta de serviços de backup (Veeam, Windows Backup, VSS) - precede a criptografia | | 524 | System | Exclusão de Volume Shadow Copies via `vssadmin delete shadows` | **Regra Sigma - Deleção de Shadow Copies + Criptografia em Massa:** ```yaml title: Indicadores de Ransomware - Shadow Copy Deletion e Criptografia em Massa id: 2e4b6c8d-1a3f-4e5d-b7c9-0f1a2b3c4d5e status: stable description: > Detecta a combinação de deleção de shadow copies e acesso em massa a arquivos, padrão altamente indicativo de execução de ransomware (T1486). author: RunkIntel daté: 2026/03/24 logsource: category: process_creation product: windows detection: selection_shadowcopy: CommandLine|contains: - 'vssadmin delete shadows' - 'wmic shadowcopy delete' - 'Get-WmiObject Win32_ShadowCopy' - 'bcdedit /set {default} recoveryenabled No' - 'wbadmin delete catalog' condition: selection_shadowcopy falsepositives: - Scripts de manutenção legítimos de TI (raro em produção sem mudança programada) level: critical tags: - attack.impact - attack.t1486 - attack.t1490 --- title: Criação em Massa de Arquivos com Extensões Desconhecidas id: 3f5c7d9e-2b4a-5f6e-c8d0-1e2f3a4b5c6d status: experimental description: > Detecta criação em alta frequência de arquivos com extensões não catalogadas, possível indicador de criptografia em andamento (T1486). author: RunkIntel daté: 2026/03/24 logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - '.locked' - '.enc' - '.encrypted' - '.akira' - '.medusa' - '.royal' - '.blackbyte' - '.babuk' timeframe: 30s condition: selection | count() > 20 falsepositives: - Ferramentas de compressão customizadas corporativas level: high tags: - attack.impact - attack.t1486 ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para organizações brasileiras | |----------|----------------|-------------------------------------------| | Backup imutável offline | [[m1053-data-backup\|M1053 - Data Backup]] | Implementar regra 3-2-1-1-0: 3 cópias, 2 mídias, 1 offsite, 1 offline (air-gapped), 0 erros verificados. Backups em fita ou object storage imutável (S3 Object Lock, Azure Blob WORM). Testar restauração mensalmente. Backups conectados à rede NÃO protegem contra ransomware. | | Prevenção comportamental no endpoint | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | EDR com módulo anti-ransomware ativo (CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne). Configurar proteção de Shadow Copies - bloquear `vssadmin`, `wmic shadowcopy`, `bcdedit` para usuários não-administradores. | | Segmentação de rede | Complementar | Microssegmentação de shares de rede críticos. Princípio do menor privilégio para acesso a compartilhamentos SMB. Usuários comuns não devem ter acesso de escrita a pastas de backup ou servidores de arquivo de produção. | | MFA em todos os acessos remotos | Complementar | MFA obrigatório em VPN, RDP, Citrix e portais web. Eliminar RDP exposto diretamente à internet - principal vetor de initial access para ransomware no Brasil. Usar Jump Server com MFA para acesso a ambientes de produção. | | Hardening de ESXi | Complementar | Isolar rede de gerenciamento ESXi da rede corporativa. Desabilitar SSH quando não em uso. Monitorar acesso à console vSphere. Implementar autenticação MFA para vCenter. Grupos como Akira e BlackByte priorizam ESXi como alvo de alto impacto. | | Plano de resposta a ransomware | Complementar | Desenvolver e testar playbook de resposta a ransomware. Definir critérios claros de escalação (quando isolar, quando notificar ANPD, quando acionar Polícia Federal). Ter contrato com empresa de resposta a incidentes pré-estabelecido. | ## Threat Actors - [[g1024-akira|Akira]] - Um dos grupos de ransomware mais ativos no Brasil em 2024-2025. Foca em PMEs e usa dupla extorsão. Comprometeu dezenas de organizações brasileiras nos setores de logística, saúde e varejo. - [[g1051-medusa-ransomware|Medusa Group]] - Opera desde 2021 com modelo RaaS. Mantém site de vazamento com múltiplas vítimas brasileiras. Utilizou vulnerabilidades em VPNs Fortinet e Citrix para initial access antes de executar T1486. - [[g1032-inc-ransom|INC Ransom]] - Grupo emergente com foco em grandes corporações. Registrou ataques a grupos hospitalares e empresas de serviços essenciais no Brasil em 2024. - [[g1015-scattered-spider|Scattered Spider]] - Grupo de língua inglesa com uso intenso de engenharia social (vishing, SIM swapping) para initial access. Utilizou ALPHV/BlackCat como payload de criptografia. Opera frequentemente contra organizações com presença no Brasil. - [[g1053-storm-0501|Storm-0501]] - Afiliado de ransomware identificado pela Microsoft com múltiplos ataques a entidades governamentais e municipais brasileiras em 2025. Usa Cobalt Strike extensivamente antes do deploy do ransomware. - [[g0034-sandworm|Sandworm Team]] - APT russo (GRU) que usa criptografia destrutiva como arma de guerra cibernética (NotPetya, 2017). Relevante para organizações brasileiras com subsidiárias ou parceiros na Ucrânia/Europa Oriental. - [[g0082-apt38|APT38]] - Subgrupo do Lazarus especializado em fraudes financeiras. Utilizou ransomware como cortina de fumaça após exfiltração de fundos via SWIFT - tática observada em ataques a bancos da América Latina. - [[g0046-fin7|FIN7]] - Grupo financeiramente motivado que evoluiu para operações de ransomware (REVIL, Darkside). Atacou varejistas e redes de hospitalidade com presença no Brasil. ## Software Associado - [[s0496-revil|REvil]] - Ransomware-as-a-Service responsável pelo ataque ao JBS Foods (empresa brasileira, sede em São Paulo) em 2021, exigindo US$ 11 milhões em resgate. Um dos maiores ataques de ransomware contra uma organização de capital brasileiro. - [[s0638-babuk|Babuk]] - Ransomware com variante específica para ESXi e NAS Linux. Código-fonte vazado em 2021 serviu como base para dezenas de derivados usados por grupos menores no Brasil. - [[s1180-blackbyte-ransomware|BlackByte Ransomware]] - Ransomware que explorou vulnerabilidades no VMware ESXi. Associado ao grupo [[g1053-storm-0501|Storm-0501]] em ataques recentes. - [[s1073-royal-blacksuit|Royal]] - Ransomware derivado do Conti, com criptografia parcial (intermittent encryption) para aumentar velocidade e dificultar detecção comportamental. Ativo na América Latina. - [[s0449-maze|Maze]] - Pioneiro na extorsão dupla (criptografia + vazamento). Descontinuado, mas seu código e modelo de negócio influenciaram toda a geração atual de ransomware. - [[s0481-ragnar-locker|Ragnar Locker]] - Conhecido por implantar máquinas virtuais VirtualBox contendo o ransomware para evadir EDR no host. Atacou empresas de energia e manufatura no Brasil. - [[s0606-bad-rabbit|Bad Rabbit]] - Ransomware com características de worm, distribuído via falsa atualização de Adobe Flash em 2017. Afetou infraestrutura de transporte na Europa e deixou lições sobre propagação lateral. - [[s1137-moneybird|Moneybird]] - Ransomware baseado em Go, usado pelo grupo Agrius (iraniano) em ataques direcionados a Israel, mas com variantes observadas em organizações multinacionais com operações no LATAM. --- *Fonte: [MITRE ATT&CK - T1486](https://attack.mitre.org/techniques/T1486)*