t1490-inhibit-system-recovery

# T1490 - Inhibit System Recovery ## Descrição A técnica T1490 descreve como adversários deletam ou desativam mecanismos nativos de recuperação do sistema operacional para tornar a restauração impossível ou extremamente custosa após um ataque. Isso inclui exclusão de cópias de sombra de volume (VSS), catálogos de backup do Windows, configurações de inicialização de recuperação e snapshots em ambientes virtualizados. O objetivo central é amplificar o impacto de ações destrutivas como [[t1485-data-destruction|Data Destruction]] e [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]], garantindo que a vítima não consiga reverter o dano. Em ambientes Windows, a técnica é executada com utilitários nativos que raramente disparam alertas antivírus: `vssadmin.exe delete shadows /all /quiet` elimina todas as cópias de sombra; `wbadmin.exe delete catalog -quiet` destrói o catálogo de backups; `bcdedit.exe /set {default} recoveryenabled no` desabilita o ambiente de recuperação do Windows (WinRE). Em infraestruturas virtualizadas com ESXi, adversários removem snapshots de máquinas virtuais para impedir rollback. Em ambientes de nuvem, versioning e políticas de backup são desativados antes da fase destrutiva, tornando o ataque irreversível sem backups externos. Em ambientes de rede corporativa, a técnica frequentemente precede [[t1561-disk-wipe|Disk Wipe]] em dispositivos de rede, combinada com [[Reboot]] para inutilizar equipamentos inteiros. O [[t1047-windows-management-instrumentation|Windows Management Instrumentation]] também é usado para deletar VSS remotamente via `wmic shadowcopy delete`, permitindo que um único host comprometido destrua a capacidade de recuperação de múltiplos sistemas na rede. **Contexto Brasil/LATAM:** No Brasil, ransomware como [[s1244-medusa-ransomware|Medusa Ransomware]], [[s0446-ryuk|Ryuk]] e [[black-basta|Black Basta]] adotam T1490 como etapa obrigatória antes da cifragem. Organizações nos setores financeiro, saúde e governo - alvos prioritários no país - frequentemente mantêm backups em rede compartilhada acessível pelo mesmo servidor comprometido, tornando a exclusão de backups online trivial. O cenário LATAM agrava-se pela baixa adoção de backups imutáveis (WORM) e pela ausência de testes regulares de restauração, tornando o impacto operacional do T1490 proporcionalmente maior do que em organizações norte-americanas ou europeias com maturidade de backup mais alta. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Escalação de Privilégios]) B --> C{T1490 - Inibir Recuperação}:::highlight C --> D([Destruição / Cifragem]) D --> E([Impacto Máximo]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona ### 1. Preparação O adversário obtém privilégios administrativos ou de sistema (frequentemente via [[t1078-valid-accounts|Valid Accounts]] ou escalação de privilégios). Em seguida, enumera os mecanismos de recuperação disponíveis: lista cópias de sombra com `vssadmin list shadows`, verifica configurações do BCD com `bcdedit /enum` e identifica jobs de backup ativos com `wbadmin get versions`. Em ambientes virtualizados, o atacante acessa o hypervisor (VMware ESXi, Hyper-V) para mapear snapshots existentes. ### 2. Execução A destruição dos recursos de recuperação é executada em sequência, normalmente via script automatizado incluído no payload do ransomware ou do wiper. Os comandos mais comuns em Windows: ```cmd vssadmin.exe delete shadows /all /quiet wmic shadowcopy delete wbadmin.exe delete catalog -quiet bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures bcdedit.exe /set {default} recoveryenabled no REAgentC.exe /disable diskshadow delete shadows all ``` Em ESXi, via `vim-cmd vmsvc/snapshot.removeall <vmid>` para cada VM. Em ambientes de nuvem (AWS/Azure/GCP), o adversário usa APIs nativas para desativar versioning de buckets S3, excluir snapshots RDS e remover backups de VMs. ### 3. Pós-execução Com os mecanismos de recuperação destruídos, o adversário prossegue para a fase de [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] ou [[t1485-data-destruction|Data Destruction]] com a certeza de que a vítima não poderá usar pontos de restauração. Frequentemente, backups externos acessíveis via rede (NAS, drives mapeados, sincronização em nuvem) também são deletados nesta etapa. O evento é irreversível sem backups offline ou imutáveis. ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - monitorar `vssadmin.exe`, `wbadmin.exe`, `bcdedit.exe`, `diskshadow.exe` | | 7036 | System | Serviço alterado - monitorar parada do serviço VSS (`Volume Shadow Copy`) | | 524 | System | Catálogo de backup deletado (`wbadmin delete catalog`) | | 1 | Sysmon | Criação de processo com linha de comando completa | | 8222 | VSS | Cópia de sombra deletada | ### Sigma Rule ```yaml title: T1490 - Inhibit System Recovery via Native Tools id: b4f26e9a-3c2d-4f1a-8b7e-9d5f6c1a2b3c status: stable description: > Detecta uso de utilitários nativos do Windows para deletar VSS, catálogos de backup ou desabilitar recuperação - padrão comum em ransomware antes da fase de cifragem. author: RunkIntel daté: 2026-03-24 references: - [[t1490-inhibit-system-recovery]] logsource: category: process_creation product: windows detection: selection_vss: Image|endswith: - '\vssadmin.exe' - '\diskshadow.exe' CommandLine|contains: - 'delete shadows' - 'delete shadows /all' selection_wmic: Image|endswith: '\wmic.exe' CommandLine|contains: 'shadowcopy delete' selection_wbadmin: Image|endswith: '\wbadmin.exe' CommandLine|contains: 'delete catalog' selection_bcdedit: Image|endswith: '\bcdedit.exe' CommandLine|contains: - 'recoveryenabled no' - 'bootstatuspolicy ignoreallfailures' selection_reagentc: Image|endswith: '\ReAgentC.exe' CommandLine|contains: '/disable' condition: 1 of selection_* falsepositives: - Administradores de sistema realizando manutenção programada de backups - Scripts de decommission de servidores level: high tags: - attack.impact - attack.t1490 ``` ## Mitigação | Controle | Mitigação | Recomendação para Organizações Brasileiras | |----------|-----------|---------------------------------------------| | [[m1053-data-backup\|M1053 - Data Backup]] | Backups imutáveis e offline | Implementar backups WORM (Write Once Read Many) desconectados da rede corporativa; seguir a regra 3-2-1-1 (3 cópias, 2 mídias, 1 offsite, 1 imutável). Testar restauração mensalmente - exigência crescente do Banco Central para instituições financeiras | | [[m1018-user-account-management\|M1018 - User Account Management]] | Restrição de privilégios sobre VSS e backup | Remover de usuários padrão (inclusive admins de domínio) a capacidade de executar `vssadmin`, `wbadmin` e `bcdedit`. Usar contas dedicadas com MFA para operações de backup | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Bloquear execução de ferramentas de deleção | Usar AppLocker ou WDAC para bloquear `diskshadow.exe` e `REAgentC.exe` em estações de trabalho; criar alerta imediato para uso em servidores | | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Proteger configurações de boot e VSS | Habilitar VSS Provider Protection via GPO; configurar ACLs restritivas no serviço Volume Shadow Copy; auditar mudanças em BCD periodicamente | | Segmentação de rede | Isolar sistemas de backup | Garantir que servidores de backup não sejam acessíveis via SMB a partir de estações de trabalho - prática crítica para organizações que usam Veeam, Acronis ou Windows Server Backup em redes planas | ## Threat Actors que Usam - [[g1051-medusa-ransomware|Medusa Group]] - grupo de ransomware que combina T1490 com dupla extorsão; ativo contra alvos governamentais e de saúde no Brasil - [[g1053-storm-0501|Storm-0501]] - ator Microsoft-tracked que destrói VSS sistematicamente antes de implantar [[black-basta|Black Basta]] e outros payloads - [[g0102-conti-group|Wizard Spider]] - operador do [[s0446-ryuk|Ryuk]] e [[conti|Conti]]; usa scripts PowerShell para deleção de VSS em larga escala - [[g1043-blackbyte|BlackByte]] - ransomware com foco em infraestrutura crítica; inclui exclusão de VSS como primeiro passo do payload - [[g1015-scattered-spider|Scattered Spider]] - grupo de engenharia social que escalou para operações destrutivas; usa T1490 contra ambientes de nuvem e ESXi - [[g0034-sandworm|Sandworm Team]] - ator estatal russo responsável por ataques destrutivos na Ucrânia; combina T1490 com wipers para máximo impacto ## Software Associado - [[black-basta|Black Basta]] - ransomware que executa deleção de VSS via PowerShell logo após acesso inicial - [[s0481-ragnar-locker|Ragnar Locker]] - deleta cópias de sombra e desabilita serviços de backup antes de cifrar - [[s0260-invisimole|InvisiMole]] - implante do grupo Gamaredon que inclui capacidade de destruição de recovery points - [[s1162-playcrypt|Playcrypt]] - variante do ransomware Play; usa `vssadmin` e `wbadmin` como etapa pré-cifragem - [[s0612-wastedlocker|WastedLocker]] - ransomware do Evil Corp; destrói VSS de forma sistemática e silenciosa - [[s0132-h1n1|H1N1]] - loader multifuncional com módulo de exclusão de backups - [[s0400-robbinhood|RobbinHood]] - ransomware que usa driver vulnerável para bypassar proteções e deletar VSS - [[s0446-ryuk|Ryuk]] - ransomware amplamente usado contra hospitais brasileiros; combina T1490 com [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] - [[darkwatchman|DarkWatchman]] - RAT leve com capacidade de desabilitar serviços de backup via WMI - [[s1244-medusa-ransomware|Medusa Ransomware]] - variante do grupo Medusa; destrói snapshots VMware ESXi além dos VSS do Windows --- *Fonte: [MITRE ATT&CK - T1490](https://attack.mitre.org/techniques/T1490)*