# T1531 - Account Access Removal > [!danger] Técnica de Impacto - Interrupção de Resposta a Incidentes > Account Access Removal é frequentemente a primeira ação destrutiva de um ataque de ransomware: ao bloquear as contas dos administradores e da equipe de TI, os adversários impedem a contenção imediata e garantem tempo adicional para criptografar dados. É a técnica que transforma um comprometimento em crise. ## Descrição **Account Access Removal** (T1531) é uma técnica da tática de **Impacto** do MITRE ATT&CK na qual adversários interrompem a disponibilidade de sistemas e recursos de rede ao **remover, bloquear ou manipular contas de usuários legítimos**. O objetivo é impedir que administradores, equipes de TI e pessoal de resposta a incidentes acessem os sistemas durante e após um ataque, maximizando o dano e dificultando a recuperação. As ações podem incluir: - **Exclusão de contas** - remoção permanente de usuários locais, de domínio ou de serviços cloud. - **Bloqueio de contas** - desativação sem exclusão, impedindo login. - **Alteração de credenciais** - mudança de senhas sem o conhecimento do proprietário legítimo. - **Revogação de permissões** - remoção de papéis e privilégios em plataformas SaaS (SharePoint, Azure AD, Google Workspace). - **Modificação de políticas de autenticação** - desabilitação de MFA, revogação de tokens OAuth. Em ambientes **ESXi** (VMware), adversários podem usar `esxcli system account remove` ou `system account set` para modificar contas de administração do hipervisor - uma ação especialmente devastadora em ambientes virtualizados onde o ESXi controla todas as VMs corporativas. Esta técnica é frequentemente a **precursora imediata** de ataques como [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] (ransomware), [[t1485-data-destruction|T1485 - Data Destruction]] e [[t1491-defacement|T1491 - Defacement]]. Ao remover acesso antes de criptografar, o adversário garante que a equipe de defesa não possa intervir. ### Plataformas Afetadas | Plataforma | Técnicas Utilizadas | |------------|---------------------| | Windows | `net user /delete`, `net user /active:no`, `Set-LocalUser`, `Set-ADAccountPassword` | | Linux | `passwd -l`, `usermod -L`, `userdel`, modificação de `/etc/shadow` | | macOS | `dscl . -delete /Users/`, `sysadminctl -disableUser` | | Active Directory | `Disable-ADAccount`, alteração de senha via PowerShell ou GUI | | SaaS (M365/Azure) | Revogação de licenças, desabilitação de contas AAD, revogação de tokens | | IaaS (AWS/GCP/Azure) | Exclusão de usuários IAM, remoção de políticas, revogação de chaves de acesso | | Office Suite | Remoção de permissões de SharePoint, OneDrive, Teams | | ESXi | `esxcli system account remove`, `system account set` | --- ## Como Funciona ### 1. Reconhecimento de Contas Antes de executar a remoção, o adversário realiza inventário das contas existentes: - Enumeração de usuários locais e de domínio: `net user`, `net user /domain`, `Get-ADUser`. - Identificação de contas de administrador e serviço com privilégios elevados. - Mapeamento de contas de backup e recuperação - essas são eliminadas primeiro para impedir restauração. - Em ambientes cloud: enumeração de usuários IAM, grupos e papéis com `aws iam list-users`, `az ad user list`. ### 2. Execução da Remoção/Bloqueio Com o mapa de contas em mãos, o adversário age de forma coordenada e frequentemente automatizada: **Windows (local e domínio):** ``` # Alteração de senha de administrador (bloqueia o acesso sem excluir) net user Administrator <nova_senha_aleatoria> # Desabilitação de conta no AD via PowerShell Set-ADAccountPassword -Identity "admin" -NewPassword (ConvertTo-SecureString "xXxXx" -AsPlainText -Force) Disable-ADAccount -Identity "admin" # Exclusão de conta local net user analyst /delete ``` **Linux:** ```bash # Bloqueio de conta (adiciona ! ao hash da senha) passwd -l root usermod -L adminuser # Alteração de senha via passwd echo "root:SENHA_ALEATORIA" | chpasswd ``` **ESXi:** ``` esxcli system account set -i root -p SENHA_ALEATORIA ``` ### 3. Ação Combinada com Outras Técnicas de Impacto Na maioria dos ataques observados, T1531 é executado em conjunto com: - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]]: Remoção de acesso imediatamente antes da criptografia para impedir intervenção da equipe de TI. - [[t1485-data-destruction|T1485 - Data Destruction]]: Em ataques sem exigência de resgate, os dados são destruídos após o bloqueio de acesso. - [[Reboot]]: Reinicialização após a alteração das credenciais garante que as mudanças entrem em vigor e sessões ativas sejam encerradas. - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]]: Remoção de contas de backup e ferramentas de recuperação antes de iniciar o ataque principal. ### 4. Extensão para Plataformas Cloud e SaaS Em ataques modernos, a remoção de acesso vai além dos sistemas on-premises: - **Azure AD / Entra ID**: O adversário pode revogar tokens de sessão de todos os administradores, forçando re-autenticação - impossível se a senha foi alterada. - **AWS IAM**: Exclusão de usuários IAM ou remoção de políticas de administrador impede acesso ao console e APIs cloud. - **Google Workspace**: Remoção de Super Admin access isola completamente a organização de seus dados no Google. - **Microsoft 365**: Revogação de licenças pode desabilitar acesso a e-mail, SharePoint e Teams simultaneamente. --- ## Attack Flow ```mermaid graph TB A["Comprometimento Inicial<br/>(Phishing / RDP / VPN)"] --> B["Escalada de Privilégios<br/>(Admin / Domain Admin)"] B --> C["Reconhecimento de Contas<br/>(net user / Get-ADUser)"] C --> D["Identificação de Contas<br/>de Administrador e Backup"] D --> E["Bloqueio de Contas<br/>de Recuperação<br/>(sysadmin / backup_admin)"] D --> F["Alteração de Senhas<br/>(Administrator / root)"] E --> G["Remoção de Acesso<br/>Cloud e SaaS<br/>(Azure AD / AWS IAM)"] F --> G G --> H["Execução do Payload<br/>Principal"] H --> I1["Ransomware<br/>(T1486)"] H --> I2["Destruição de Dados<br/>(T1485)"] H --> I3["Defacement<br/>(T1491)"] I1 --> J["System Reboot<br/>(T1529 - Impede Contenção)"] I2 --> J I3 --> J style A fill:#2c3e50,color:#fff style H fill:#c0392b,color:#fff style I1 fill:#e74c3c,color:#fff style I2 fill:#e74c3c,color:#fff style J fill:#7b241c,color:#fff ``` --- ## Exemplos de Uso ### Akira Ransomware - Ataques ao Setor Corporativo O grupo [[g1024-akira|Akira]] é um dos ransomwares mais ativos desde 2023, com foco em PMEs e empresas de médio porte. Em múltiplos ataques documentados, o Akira executa as seguintes etapas sequenciais: 1. Acesso inicial via credenciais VPN comprometidas (frequentemente Cisco AnyConnect sem MFA). 2. Escalada para Domain Admin usando vulnerabilidades de AD ou pass-the-hash. 3. **Account Access Removal**: Alteração das senhas de todos os administradores de domínio e contas de serviço de backup. 4. Desabilitação ou exclusão de contas de "break glass" (contas de emergência de acesso). 5. Implantação do ransomware Akira e criptografia de sistemas. 6. Extorsão dupla: pressão pelo pagamento sob ameaça de publicação dos dados exfiltrados no site de vazamentos do grupo. ### LAPSUS$ - Engenharia Social e Revogação de Acesso O grupo [[g1004-lapsus|LAPSUS$]], com membros identificados principalmente no Brasil e Reino Unido, utilizou abordagem distinta: em vez de ransomware, focavam em **exfiltração e extorsão**. Após obter acesso inicial via engenharia social (SIM swapping, suborno de funcionários), o LAPSUS$ revogava acessos de administradores legítimos como forma de pressão: - No ataque à [[okta|Okta]] (2022): comprometimento de um prestador de serviço da Okta permitiu acesso a ferramentas de suporte que podiam modificar senhas de clientes. - No ataque à [[_microsoft|Microsoft]] (2022): acesso a repositórios de código-fonte com revogação de tokens de autenticação. - No ataque à [[samsung|Samsung]] e [[nvidia|NVIDIA]]: exfiltração massiva de código-fonte combinada com bloqueio de acesso para maximizar o poder de negociação. ### MegaCortex e LockerGoga - Ataques Industriais Os malwares [[s0576-megacortex|MegaCortex]] e [[s0372-lockergoga|LockerGoga]] foram usados em ataques contra empresas industriais (Norsk Hydro, Hexion) e incluíam explicitamente a etapa de Account Access Removal como parte do payload: - **LockerGoga**: Após criptografar arquivos, o malware executava `net user administrator NOVOM_SENHA` e `net user guest NOVOM_SENHA` para bloquear o acesso dos administradores antes de desconectar máquinas da rede. - **MegaCortex**: Versões avançadas alteravam políticas de grupo para forçar logout de todos os usuários ativos e desabilitar contas de serviço de backup. ### Meteor Wiper - Irã contra Infraestrutura O malware [[s0688-meteor|Meteor]], atribuído a atores iranianos, foi usado contra a ferrovia estatal iraniana (IRGC) em 2021 - aparentemente um ataque de facção disidente. Meteor incluía um componente que: - Desabilitava a conta de administrador local. - Removia o computador do domínio. - Apagava o MBR e criptografava arquivos. A sequência intencional garantia que a remoção de acesso ocorresse antes da destruição, impedindo qualquer intervenção de recovery. --- ## Detecção A detecção eficaz de T1531 requer correlação de eventos de auditoria de contas em múltiplas plataformas - especialmente eventos de modificação de senha e desabilitação de contas em sequência rápida, que é o padrão de ataques automatizados. ### Sigma Rule - Modificação em Massa de Senhas (Windows) ```yaml title: Mass Account Password Change - Potential Ransomware Pre-Stage status: experimental description: > Detecta múltiplas alterações de senha em curto intervalo, padrão característico de ransomware executando Account Access Removal antes da criptografia. logsource: product: windows service: security detection: selection: EventID: - 4723 # Tentativa de alteração de senha pelo próprio usuário - 4724 # Tentativa de reset de senha por administrador - 4725 # Conta de usuário desabilitada - 4726 # Conta de usuário excluída timeframe: 5m condition: selection | count() > 5 level: high tags: - attack.impact - attack.t1531 falsepositives: - Operações legítimas de offboarding em massa de funcionários - Scripts de provisionamento/desprovisionamento agendados ``` ### Sigma Rule - Exclusão de Conta Privilegiada ```yaml title: Privileged Account Deletion or Disable status: experimental description: > Detecta desabilitação ou exclusão de contas pertencentes a grupos privilegiados (Domain Admins, Enterprise Admins, Backup Operators), que pode indicar ação pré-ransomware. logsource: product: windows service: security detection: selection_event: EventID: - 4725 - 4726 selection_group_member: MemberSid|startswith: 'S-1-5-21' filter_expected_processes: SubjectUserName|endswith: 'svc_provisioning' condition: selection_event and selection_group_member and not filter_expected_processes level: critical tags: - attack.impact - attack.t1531 - attack.t1078 ``` ### Sigma Rule - Modificação de Conta Root no Linux ```yaml title: Root Account Password Change via CLI status: experimental description: > Detecta tentativa de alteração de senha do root via linha de comando em sistemas Linux, comportamento suspeito fora de jánelas de manutenção. logsource: category: process_creation product: linux detection: selection: CommandLine|contains: - 'passwd root' - 'usermod -p' - 'chpasswd' User: 'root' condition: selection level: high tags: - attack.impact - attack.t1531 ``` ### Indicadores de Detecção por Camada | Camada | Indicador | Severidade | |--------|-----------|------------| | AD/LDAP | Múltiplas contas de Domain Admin desabilitadas em < 5 min | Crítica | | Windows Security Log | EventID 4724/4725/4726 em alta frequência | Alta | | Azure AD | Múltiplos resets de senha fora do horário comercial | Alta | | AWS CloudTrail | `DeleteUser`, `DetachUserPolicy` em sequência rápida | Alta | | Linux | `passwd -l root` ou `usermod -L` em produção | Crítica | | ESXi | `esxcli system account set` para conta root | Crítica | | SIEM | Correlação: alteração de senha + desabilitação + logout em massa | Crítica | --- ## Mitigação > [!note] Ausência de Mitigações MITRE Oficiais > O MITRE ATT&CK não lista mitigações específicas mapeadas para T1531. As recomendações abaixo são baseadas em boas práticas de segurança e lições aprendidas de incidentes reais. | Controle | Descrição | |----------|-----------| | **Contas de Break Glass** | Manter 2-3 contas de emergência com senhas armazenadas offline em cofre físico ou gerenciador de senhas com acesso restrito. Monitorar qualquer uso dessas contas. | | **MFA Resistente a Phishing** | Implementar autenticação multifator com chaves de hardware (FIDO2/WebAuthn) para todas as contas privilegiadas. MFA via SMS é contornável por SIM swapping. | | **PAM (Privileged Access Management)** | Usar solução PAM (CyberArk, BeyondTrust, HashiCorp Vault) com gravação de sessão e aprovação just-in-time para acesso privilegiado. | | **Separação de Contas Admin** | Nunca usar contas de administrador de domínio para operações diárias. Contas de admin separadas reduzem o risco de comprometimento. | | **Backups de AD Offline** | Manter backups do Active Directory e políticas de grupo offline e imutáveis. Restauração do AD é possível com backups recentes. | | **Monitoramento UEBA** | Soluções de User and Entity Behavior Analytics detectam anomalias como múltiplas alterações de conta fora do padrão histórico. | | **Alertas em Tempo Real** | Configurar alertas imediatos (SIEM/SOAR) para eventos críticos de auditoria de contas (EventID 4724, 4725, 4726 em AD). | | **Zero Trust Architecture** | Implementar princípio de menor privilégio e verificação contínua - limitar impacto do comprometimento de uma única conta. | --- ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, T1531 aparece de forma recorrente em ataques de ransomware que têm o Brasil como alvo prioritário. O país está entre os mais atacados por ransomware na América Latina, reflexo de sua economia digital madura e, historicamente, de deficiências em higiene cibernética básica em PMEs. ### Grupos de Ransomware Ativos no Brasil **[[g1024-akira|Akira]]** é um dos grupos mais ativos no Brasil em 2024-2025, com múltiplas vítimas confirmadas nos setores de saúde, educação, jurídico e manufatura. O MO inclui sempre Account Access Removal antes da criptografia - análise de incidentes brasileiros mostra o padrão de bloqueio de administradores entre 2 e 4 horas antes da implantação do ransomware. **[[lockbit|LockBit]]**, embora com operações parcialmente desmanteladas pela Operação Cronos (2024), continua ativo via afiliados. O modelo RaaS distribui o ransomware a operadores que adaptam TTPs localmente - no Brasil, o acesso inicial frequentemente ocorre via RDP exposto sem MFA, que é um problema endêmico em PMEs brasileiras. **[[blackcat|ALPHV]]** demonstrou sofisticação técnica particular no tratamento de ambientes ESXi, executando Account Access Removal no hipervisor para garantir controle sobre todo o ambiente virtualizado antes de criptografar as VMs. ### Incidentes Notáveis no Brasil - **STJ (2020)**: O ataque de ransomware ao Superior Tribunal de Justiça incluiu bloqueio de contas administrativas, paralisando sistemas por dias. Foi um dos ataques mais impactantes a uma instituição pública brasileira. - **Renner (2021)**: Ataque de ransomware ao grupo varejista Renner incluiu comprometimento de Active Directory e bloqueio de contas, afetando operações de e-commerce e sistemas internos. - **Saúde e Hospitais**: Ataques a hospitais brasileiros incluem sistematicamente o bloqueio de contas de administrador, maximizando o tempo de resposta e a pressão para pagamento do resgate - especialmente crítico em ambientes onde sistemas hospitalares são essenciais para a vida dos pacientes. ### Aspectos Legais e Regulatórios - **LGPD (Lei 13.709/2018)**: O bloqueio de contas que resulta em perda de controle sobre dados pessoais pode configurar incidente de segurança com obrigação de notificação à ANPD (Autoridade Nacional de Proteção de Dados) em 72 horas. - **Resolução BCB 4.658/2018** e **Resolução CMN 4.893/2021**: Instituições financeiras no Brasil são obrigadas a manter controles de gestão de acesso e resposta a incidentes - ataques de Account Access Removal podem resultar em penalidades regulatórias. - **Lei 12.737/2012**: Alteração não autorizada de credenciais de acesso configura crime cibernético com pena de reclusão. --- ## Threat Actors que Usam - [[g1024-akira|Akira]] - Ransomware ativo, múltiplas vítimas no Brasil (2023-2025) - [[g1004-lapsus|LAPSUS$]] - Grupo com membros brasileiros, foco em exfiltração e extorsão ## Software Associado - [[s0576-megacortex|MegaCortex]] - Ransomware com módulo de remoção de contas - [[s0372-lockergoga|LockerGoga]] - Ransomware industrial com Account Access Removal explícito - [[s0688-meteor|Meteor]] - Wiper iraniano com remoção de contas pré-destruição - [[s1134-deadwood|DEADWOOD]] - Malware destrutivo com componente de bloqueio de acesso --- ## Referências - [MITRE ATT&CK - T1531](https://attack.mitre.org/techniques/T1531) - [CISA - Akira Ransomware Advisory AA24-109A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a) - [Mandiant - LAPSUS$ Group Analysis](https://www.mandiant.com/resources/blog/lapsus-group) - [Sentinel One - LockerGoga Analysis](https://www.sentinelone.com/labs/lockergoga-ransomware-targeting-oil-gas-and-manufacturing-industries/) - [ESET - Meteor Wiper Analysis](https://www.welivesecurity.com/2021/08/16/operation-ghostshell-novel-apt-group-targets-aerospace-r/) - [Microsoft - Ransomware as a Service Ecosystem](https://www.microsoft.com/en-us/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy/) - [IBM Security - Cost of a Data Breach Report Brazil 2024](https://www.ibm.com/reports/data-breach)