# T1529 - System Shutdown/Reboot > [!warning] Técnica de Impacto - Complemento Destrutivo > **T1529** é frequentemente o "passo final" em cadeias de ataque destrutivas. Grupos como [[g0032-lazarus-group|Lazarus Group]], [[g0082-apt38|APT38]] e [[g0067-apt37|APT37]] utilizam esta técnica após completar [[t1561-disk-wipe|Disk Wipe]] ou [[t1490-inhibit-system-recovery|Inhibit System Recovery]] para maximizar o impacto e dificultar a resposta a incidentes. ## Descrição Adversários podem desligar/reinicializar sistemas para interromper o acesso a eles ou auxiliar na destruição desses sistemas. Sistemas operacionais podem conter comandos para iniciar um desligamento/reinicialização de uma máquina ou dispositivo de rede. Em alguns casos, esses comandos também podem ser usados para iniciar um desligamento/reinicialização de um computador remoto ou dispositivo de rede via [[t1059-008-network-device-cli|Network Device CLI]] (por exemplo, `reload`). Eles também podem incluir desligamento/reinicialização de uma máquina virtual via hypervisor ou ferramentas de linha de comando de console de nuvem. O desligamento ou reinicialização de sistemas pode interromper o acesso a recursos de computador para usuários legítimos, ao mesmo tempo que impede a resposta a incidentes e recuperação. Adversários também podem usar funções da API Windows, como `InitializeSystemShutdownExW` ou `ExitWindowsEx`, para forçar um sistema a desligar ou reiniciar. Alternativamente, as funções da API Windows `NtRaiseHardError` ou `ZwRaiseHardError` com o parâmetro `ResponseOption` configurado como `OptionShutdownSystem` podem entregar uma "tela azul da morte" (BSOD) a um sistema. Para aproveitar essas funções de API, um adversário pode precisar adquirir `SeShutdownPrivilege` (por exemplo, via [[t1134-access-token-manipulation|Access Token Manipulation]]). Em alguns casos, o sistema pode não conseguir inicializar novamente. Adversários podem tentar desligar/reiniciar um sistema após impactá-lo de outras formas, como [[t1561-disk-wipe|Disk Wipe]] ou [[t1490-inhibit-system-recovery|Inhibit System Recovery]], para acelerar os efeitos pretendidos na disponibilidade do sistema. O reinicio ou desligamento forçado após a destruição do MBR/VBR, por exemplo, garante que o sistema tentará (e falhará) inicializar, tornando o impacto imediato e irreversível sem intervenção manual. ## Como Funciona ### Métodos em Windows O Windows oferece múltiplos vetores para desligamento/reinicialização forçada: **Via linha de comando:** - `shutdown /s /f /t 0` - desligamento imediato forçando o fechamento de aplicações - `shutdown /r /f /t 0` - reinicialização imediata - `shutdown /s /f /t 0 /m \\hostname` - desligamento remoto **Via API Windows (nível mais baixo):** - `ExitWindowsEx(EWX_SHUTDOWN | EWX_FORCE, 0)` - desligamento imediato - `InitiateSystemShutdownExW` com flag `bForceAppsClosed` - `NtRaiseHardError` com `OptionShutdownSystem` - força um BSOD seguido de reinicialização **Via WMI:** - `Win32_OperatingSystem.Shutdown()` ou `Win32_OperatingSystem.Reboot()` - executável remotamente via WMI ### Métodos em Linux/macOS - `shutdown -h now` / `poweroff` / `halt` - desligamento imediato - `reboot` / `shutdown -r now` - reinicialização - `systemctl poweroff` / `systemctl reboot` - via systemd - Chamada direta ao kernel: `echo b > /proc/sysrq-trigger` (reboot sem sync de disco, maximizando corrupção de dados) - `echo o > /proc/sysrq-trigger` (desligamento imediato sem sync) O uso de `/proc/sysrq-trigger` é particularmente destrutivo pois não executa sync de filesystem antes do desligamento, garantindo que arquivos com escrita pendente em cache fiquem corrompidos. ### Métodos em ESXi / Hypervisors Em ambientes virtualizados, o impacto é amplificado: - `esxcli system shutdown poweroff` - desliga o host ESXi, derrubando todas as VMs - Via vCenter API: `PowerOffVM_Task` para VMs individuais ou `ShutdownHost_Task` para hosts - Via cloud console (AWS, Azure, GCP): comandos de força poweroff via API ou console Grupos como [[g0032-lazarus-group|Lazarus Group]] têm demonstrado capacidade de comprometer infraestrutura VMware ESXi em ataques de ransomware, usando esta técnica para interromper todas as VMs simultaneamente após criptografia. ### Métodos em Dispositivos de Rede - Cisco IOS: `reload` - reinicializa o dispositivo, perdendo configurações não salvas - Juniper JunOS: `request system reboot` / `request system halt` - Fortigaté: `execute reboot` / `execute shutdown` - Combinado com [[t1561-disk-wipe|Disk Wipe]] via `write erase` + `reload` em equipamentos Cisco ### Privilégios Necessários Em sistemas modernos, a execução de desligamento forçado requer: - **Windows**: `SeShutdownPrivilege` - normalmente concedido a administradores locais e alguns serviços - **Linux**: `CAP_SYS_BOOT` ou `root` para uso de `sysrq-trigger` - **ESXi**: Acesso administrativo ao hypervisor ou vCenter Adversários geralmente adquirem esses privilégios via [[t1134-access-token-manipulation|Access Token Manipulation]], [[t1068-exploitation-for-privilege-escalation|Exploitation for Privilege Escalation]] ou comprometimento direto de contas administrativas. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(T1566 - Phishing / T1190 - Exploit)"] --> B["Escalada de Privilégios<br/>(T1068 / T1134)"] B --> C["Persistência e Reconhecimento<br/>(Mapeamento de Hosts Críticos)"] C --> D["Técnicas Destrutivas Precedentes"] D --> E["T1561 - Disk Wipe<br/>(MBR/Conteúdo destruído)"] D --> F["T1490 - Inhibit System Recovery<br/>(Shadow copies deletadas)"] D --> G["T1486 - Data Encrypted for Impact<br/>(Arquivos criptografados)"] E --> H["T1529 - System Shutdown/Reboot<br/>(Ativação do Impacto Final)"] F --> H G --> H H --> I{"Resultado"} I --> J["Sistema Windows/Linux<br/>inicializa e falha<br/>(MBR destruído)"] I --> K["VMs ESXi<br/>desligadas simultaneamente"] I --> L["Dispositivos de Rede<br/>perderam configuração"] J --> M["Impacto: Indisponibilidade Total<br/>Recuperação Manual Necessária"] K --> M L --> M ``` ## Exemplos de Uso ### Lazarus Group - Ataques a Infraestrutura Financeira O [[g0032-lazarus-group|Lazarus Group]] e seu subgrupo [[g0082-apt38|APT38]] são responsáveis por alguns dos ataques mais destrutivos a instituições financeiras. Em múltiplos incidentes documentados, após comprometer redes bancárias e exfiltrar dados de clientes e credenciais SWIFT, o grupo ativou wipers e então forçou reinicializações em massa de estações de trabalho e servidores. O objetivo combinado era impedir a detecção das transferências fraudulentas enquanto causava caos operacional que atrasasse a resposta. ### APT37 - Ataques a Alvos Sul-Coreanos [[g0067-apt37|APT37]] (também conhecido como Reaper, ScarCruft) tem histórico de uso de T1529 em ataques a organizações sul-coreanas como parte de operações disruptivas. O grupo combina malware de espionagem com capacidades destrutivas, usando desligamento forçado como último estágio após exfiltração completa dos dados de interesse. ### Medusa Group - Ransomware com Componente Destrutivo [[g1051-medusa-ransomware|Medusa Group]] utiliza ransomware com capacidades de wipe e reinicialização forçada. Após criptografar arquivos e exfiltrar dados para extorsão, o grupo ativa rotinas de desligamento em sistemas críticos da vítima para maximizar a pressão e demonstrar capacidade destrutiva adicional além do ransomware tradicional. ### LookBack - Ataques a Utilities [[s0582-lookback|LookBack]] é um RAT (Remote Access Trojan) utilizado em ataques contra empresas de utilities nos EUA. O malware inclui capacidade de desligamento remoto de sistemas, relevante em contexto de ICS/OT onde o desligamento de um sistema de controle pode ter consequências físicas além do mundo digital. ### Maze - Ransomware com Shutdown Forçado [[s0449-maze|Maze]] foi um dos primeiros grupos de ransomware a popularizar o modelo de dupla extorsão. Após criptografar arquivos e exfiltrar dados para públicação, o malware encerrava serviços críticos e forçava reinicializações para que os usuários descobrissem o impacto do ataque ao tentarem retomar o trabalho. ### AcidRain / AcidPour - Wipe + Reboot [[s1125-acidrain|AcidRain]] e [[s1167-acidpour|AcidPour]] são wipers que combinam destruição de conteúdo de flash memory com reinicialização forçada. Após sobrescrever o firmware dos dispositivos, forçam um reboot - que resulta em "bricks" permanentes pois o dispositivo não consegue mais inicializar com firmware corrompido. ## Detecção ### Estrategia Geral A detecção de T1529 deve correlacionar execuções de comandos de shutdown com contexto: quem executou, em qual horário, quantos sistemas simultâneos, e se houve atividades destrutivas precedentes (deleção de shadow copies, acesso a MBR, criptografia em massa). ```yaml title: Desligamento/Reinicialização Forçada em Múltiplos Hosts - Possível Wiper status: experimental logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'shutdown /s /f' - 'shutdown /r /f' - 'shutdown.exe /s' - 'shutdown.exe /r' CommandLine|contains: - '/t 0' - '/t 1' filter_legitimate: ParentImage|contains: - 'WSUS' - 'sccm' - 'updateorchestrator' condition: selection and not filter_legitimate falsepositives: - Scripts de manutenção legítimos de TI durante jánelas de manutenção - Aplicação de patches via WSUS/SCCM level: high tags: - attack.impact - attack.t1529 ``` ```yaml title: Uso de API Windows para Shutdown Forçado - Possível Malware status: experimental logsource: category: process_creation product: windows detection: selection_api: CommandLine|contains: - 'NtRaiseHardError' - 'ZwRaiseHardError' - 'ExitWindowsEx' - 'InitiateSystemShutdownEx' condition: selection_api falsepositives: - Desenvolvimento e teste de software legítimo - Ferramentas de diagnóstico autorizadas level: critical tags: - attack.impact - attack.t1529 ``` ```yaml title: Reboot Imediato via SysRq - Linux status: experimental logsource: category: file_event product: linux detection: selection: TargetFilename: '/proc/sysrq-trigger' Contents|contains: - 'b' - 'o' condition: selection falsepositives: - Administradores usando SysRq para recuperação de sistema travado - Scripts de diagnóstico de kernel autorizados level: high tags: - attack.impact - attack.t1529 ``` ```yaml title: Shutdown Remoto via WMI - Movimento Lateral Destrutivo status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: '\wmic.exe' CommandLine|contains|all: - 'os' - 'call' CommandLine|contains: - 'Shutdown' - 'Reboot' condition: selection falsepositives: - Administradores executando manutenção remota legítima via WMI - Scripts de automação de TI corporativos level: high tags: - attack.impact - attack.t1529 - attack.lateral_movement ``` ### Fontes de Dados Recomendadas - **Windows Event Log 4609**: O sistema está sendo desligado (System shutdown initiated) - **Windows Event Log 1074**: Processo iniciou reinicialização/desligamento - **Windows Event Log 6008**: O desligamento anterior foi inesperado (para correlação pós-incidente) - **Syslog Linux**: `shutdown`, `reboot`, `systemctl poweroff/reboot` - **ESXi logs**: `/var/log/hostd.log`, `/var/log/vpxa.log` para desligamentos via vCenter - **EDR behavioral**: Correlacionar shutdown com atividades destrutivas precedentes na mesma sessão - **SIEM correlação**: Múltiplos hosts com shutdown em jánela de tempo de 5-15 minutos ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | Controle de Privilégios | Privileged Access Management (PAM) | Restringir quem pode executar comandos de desligamento, especialmente em servidores críticos. Exigir aprovação out-of-band para desligamentos em sistemas produtivos durante horário comercial. | | Monitoramento | SIEM Alerting | Configurar alertas para execução de comandos de shutdown fora de jánelas de manutenção aprovadas, especialmente em múltiplos sistemas simultaneamente. | | Segmentação | Isolamento de Sistemas Críticos | Isolar sistemas críticos (controladores de domínio, servidores de backup, sistemas financeiros) de redes onde adversários possam propagar comandos de shutdown remotamente. | | ESXi Hardening | Proteção de Hypervisor | Restringir acesso à API do vCenter e ao ESXi Direct Console UI. Implementar MFA para acesso ao vCenter. Monitorar chamadas de API que iniciam power operations em VMs. | | Backup Offline | Proteção de Dados | Manter backups offline que não sejam afetados por desligamentos remotos. Garantir que sistemas de backup críticos estejam em segmentos isolados. | ## Contexto Brasil/LATAM ### Ransomware e Shutdown Forçado O Brasil é um dos países mais afetados por ransomware na América Latina, e T1529 aparece regularmente na fase final de ataques a organizações brasileiras. Grupos como afiliados do [[g1051-medusa-ransomware|Medusa Group]] e operadores de ransomware-as-a-service têm utilizado shutdown forçado como "assinatura" do ataque - garantindo que o impacto sejá imediato e visível ao usuário ao tentar reiniciar sistemas afetados. ### Infraestrutura Crítica Brasileira Operadoras de energia elétrica, saneamento e telecomúnicações no Brasil são alvos de alto valor para ataques que utilizam T1529 em combinação com wipe de sistemas SCADA/ICS. O desligamento forçado de PLCs (Programmable Logic Controllers) ou HMIs (Human Machine Interfaces) pode ter consequências físicas que vão além do mundo digital - incluindo interrupção de fornecimento de energia, água ou serviços de emergência. A **ANEEL** (Agência Nacional de Energia Elétrica) e a **ANATEL** têm emitido circulares exigindo planos de continuidade de negócios que contemplem específicamente ataques cibernéticos com componente destrutivo. ### Grupos Norte-Coreanos e Interesse na Região [[g0082-apt38|APT38]] e [[g0032-lazarus-group|Lazarus Group]] têm demonstrado interesse crescente em instituições financeiras brasileiras, especialmente exchanges de criptomoedas e fintechs. O modelo de ataque típico desses grupos - espionagem prolongada seguida de roubo financeiro massivo e então sabotagem destrutiva - torna T1529 uma ameaça real para o setor financeiro brasileiro. ### Vetores de Risco por Setor - **Financeiro**: Desligamento forçado de servidores de core banking para ocultar transações fraudulentas durante ataque - **Energia/Utilities**: Shutdown de sistemas SCADA/HMI para interrupção de serviços essenciais - **Saúde**: Desligamento de sistemas hospitalares críticos (EMR, equipamentos conectados) durante ataques de ransomware - com risco direto a vidas - **Governo**: Desligamento de sistemas de serviços públicos digitais durante operações de hacktivismo ou espionagem ### Regulamentação e Obrigações - **LGPD (Lei 13.709/2018)**: Exige notificação à ANPD em até 72 horas para incidentes que causem riscos a titulares, incluindo indisponibilidade causada por ataques - **Resolução BACEN 4.893/2021**: Exige planos de continuidade de negócios para instituições financeiras que cubram cenários de indisponibilidade por ataque cibernético - **Instrução CVM 681**: Exige que empresas listadas em bolsa divulguem incidentes cibernéticos materiais, incluindo ataques destrutivos ## Referências - [MITRE ATT&CK - T1529 System Shutdown/Reboot](https://attack.mitre.org/techniques/T1529) - [CISA - Ransomware Guide](https://www.cisa.gov/stopransomware) - [Banco Central do Brasil - Resolução 4.893/2021](https://www.bcb.gov.br/) - [ANEEL - Regulação de Segurança Cibernética](https://www.aneel.gov.br/) - [CERT.br - Gestão de Incidentes](https://www.cert.br/) - [Microsoft - Windows API Shutdown Functions](https://docs.microsoft.com/windows/win32/api/winuser/nf-winuser-exitwindowsex) - [[g0032-lazarus-group|Lazarus Group]] - uso de shutdown forçado em ataques a bancos e exchanges - [[g0082-apt38|APT38]] - subgrupo do Lazarus especializado em ataques financeiros destrutivos - [[g0067-apt37|APT37]] - grupo norte-coreano com histórico de ataques destrutivos a alvos sul-coreanos - [[g1051-medusa-ransomware|Medusa Group]] - operador de ransomware com componente destrutivo - [[s1125-acidrain|AcidRain]] - wiper que usa reboot para finalizar destruição de firmware - [[s1167-acidpour|AcidPour]] - variante evoluída do AcidRain - [[s0372-lockergoga|LockerGoga]] - ransomware/wiper que força logout e shutdown de usuários - [[s0365-olympic-destroyer|Olympic Destroyer]] - usou shutdown forçado nos Jogos Olímpicos 2018 - [[s0449-maze|Maze]] - ransomware que combina shutdown com criptografia e exfiltração - [[s0582-lookback|LookBack]] - RAT com capacidade de shutdown remoto em utilities - [[s1033-dcsrv|DCSrv]] - malware wiper com componente de shutdown - [[qilin|Qilin]] - ransomware moderno com capacidades de shutdown em ambientes ESXi - [[s1135-multilayer-wiper|MultiLayer Wiper]] - usa shutdown como etapa final da cadeia destrutiva - [[t1561-disk-wipe|T1561 - Disk Wipe]] - técnica frequentemente precedente ao T1529 - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - precursor que garante que o reboot sejá irrecuperável - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - usado para adquirir SeShutdownPrivilege - [[t1059-008-network-device-cli|T1059.008 - Network Device CLI]] - vetor em dispositivos de rede