t1561-disk-wipe - RunkIntel

# T1561 - Disk Wipe > [!critical] Destruicao de dados via apagamento de disco > Adversarios apagam ou corrompem conteudo de discos rigidos para destruir dados, interromper operações e causar impacto irreversivel, frequentemente como componente de operações destrutivas de sabotagem ou como cobertura para exfiltração previa. ## Visão Geral **Disk Wipe** e uma técnica de impacto onde adversarios destroem dados armazenados em disco, visando causar interrupcao operacional massiva, impedir recuperacao forense ou punir a organização vitima. Esta técnica engloba tanto o apagamento de conteudo de disco ([[t1561-001-disk-content-wipe|T1561.001]]) quanto a destruicao da estrutura de disco ([[t1561-002-disk-structure-wipe|T1561.002]]), ambos resultando em perda catastrofica de dados. A técnica [[t1561-disk-wipe|T1561]] esta historicamente associada a operações destrutivas de estado-nacao, sendo o [[g0034-sandworm|Sandworm]] (GRU, Russia) o grupo mais prolificoy na utilização de malware wiper. O Sandworm foi responsavel por campanhas devastadoras como **NotPetya** (2017) - que causou mais de 10 bilhoes de dólares em danos globais - e **WhisperGate** (2022) contra infraestrutura ucraniana. Outros grupos notaveis incluem [[g0064-apt33|APT33]] (Iran) com o **Shamoon** wiper contra a Saudi Aramco, e [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) no ataque contra a Sony Pictures em 2014. Wipers diferenciam-se de [[t1486-data-encrypted-for-impact|ransomware]] pelo objetivo: enquanto ransomware visa extorsao financeira com possibilidade de recuperacao mediante pagamento, wipers visam destruicao permanente sem oferecer mecanismo de recuperacao. Alguns malwares hibridos (como WhisperGate) se disfarcan de ransomware para confundir analistas, mas na realidade destroem dados irreversivelmente. No cenário geopolitico atual, wipers representam uma ameaça significativa para paises aliados ou com interesses conflitantes com atores de estado-nacao. O Brasil, como economia emergente com infraestrutura critica digitalizada e relacoes diplomaticas diversas, não esta imune a ataques destrutivos direcionados, especialmente em contextos de tensao geopolitica. ## Attack Flow ```mermaid graph TB A["🎯 Initial Access Comprometimento inicial do ambiente"] B["🔄 Lateral Movement Propagação pela rede interna"] C["⬆️ Privilege Escalation Obtencao de credenciais de dominio"] D["📦 Staging Distribuição do wiper via GPO/PsExec"] E["🔴 Impact Execução simultanea do wiper"] F["💀 Disruption Perda de dados e interrupcao operacional"] A --> B --> C --> D --> E --> F classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef current fill:#e74c3c,stroke:#c0392b,color:#ecf0f1,stroke-width:3px class A,B,C,D neutral class E current class F neutral ``` **Legenda:** [[t1078-valid-accounts|T1078]] (Initial Access) - [[t1021-remote-services|T1021]] (Lateral Movement) - **T1561 (Impact)** - Sub-técnicas: [[t1561-001-disk-content-wipe|T1561.001]], [[t1561-002-disk-structure-wipe|T1561.002]] ## Wipers Historicos | Wiper | Ano | Grupo | Alvo | Impacto | |-------|-----|-------|------|---------| | Shamoon | 2012 | APT33 | Saudi Aramco | 35.000 endpoints destruidos | | Dark Seoul | 2013 | Lazarus Group | Bancos sul-coreanos | 48.000 endpoints | | Sony Wiper | 2014 | Lazarus Group | Sony Pictures | Destruicao massiva + vazamento | | NotPetya | 2017 | Sandworm | Global (Ucrania) | USD 10 bilhoes em danos | | Olympic Destroyer | 2018 | Sandworm | Olimpiadas PyeongChang | Interrupcao de TI do evento | | WhisperGate | 2022 | Sandworm | Governo ucraniano | Destruicao de sistemas governamentais | | CaddyWiper | 2022 | Sandworm | Infraestrutura ucraniana | Wiper direcionado a setores criticos | | AcidRain | 2022 | Sandworm | Viasat KA-SAT | Modems satelitais inutilizados | | BiBi Wiper | 2023 | Agrius | Israel | Ataques destrutivos durante conflito | ## Detecção | Fonte de dados | Método | Eficacia | |----------------|--------|----------| | [[ds0017-command\|Command Execution]] | Monitorar execução de comandos de apagamento (dd, format, cipher /w) | Alta | | [[ds0016-drive\|Drive]] | Detectar acessos diretos ao disco raw (PhysicalDrive0) | Alta | | [[ds0009-process\|Process Creation]] | Processos executando ferramentas de overwrite de disco | Alta | | [[ds0022-file\|File Modification]] | Volume massivo de exclusoes ou modificacoes de arquivos | Media | | [[ds0013-sensor-health\|Sensor Health]] | Perda subita de telemetria de múltiplos endpoints | Alta | ### Regra Sigma ```yaml title: Disk Wipe Activity - Direct Disk Access or Destruction Commands id: runk-t1561-diskwipe status: experimental description: Detecta atividades indicativas de apagamento de disco ou destruicao massiva de dados references: - https://attack.mitre.org/techniques/T1561/ logsource: category: process_creation product: windows detection: selection_direct_disk: CommandLine|contains: - '\\.\PhysicalDrive' - '\\.\HarddiskVolume' - 'format c:' - 'format d:' selection_wipe_tools: Image|endswith: - '\sdelete.exe' - '\cipher.exe' CommandLine|contains: - '/w:' - '-z' - '-p' selection_linux: Image|endswith: - '/dd' - '/shred' CommandLine|contains: - 'if=/dev/zero' - 'if=/dev/urandom' - 'of=/dev/sd' condition: selection_direct_disk or selection_wipe_tools or selection_linux falsepositives: - Operacoes de sanitizacao de disco autorizadas - Ferramentas de destruicao segura de dados em fim de vida level: critical tags: - attack.impact - attack.t1561 ``` ## Mitigação - **Backups offline e imutaveis** - implementar estratégia 3-2-1 com pelo menos um backup offline/air-gapped, testado regularmente - **Segmentacao de rede** - isolar segmentos criticos para limitar propagação lateral do wiper - **Proteção de credenciais** - proteger contas de dominio admin com MFA e PAM para impedir distribuição massiva via GPO - **Monitoramento de integridade** - alertar sobre acessos diretos a disco raw e tentativas de escrita no MBR/VBR - **Plano de recuperacao de desastres** - ter runbooks testados para restauracao rapida após ataque destrutivo - **EDR com proteção anti-tamper** - garantir que agentes de segurança não possam ser desabilitados antes da execução do wiper Mitigacoes MITRE relacionadas: [[m1053-data-backup\|M1053]] - [[m1030-network-segmentation\|M1030]] ## Relevância LATAM/Brasil > [!latam] Contexto Regional > Ataques destrutivos com wipers representam risco crescente para o Brasil, especialmente para infraestrutura critica e setor energetico, em um cenário geopolitico cada vez mais tenso. Fatores de risco para o Brasil e América Latina: - **Infraestrutura critica digitalizada** - setores como energia ([[energy|energia]]), [[financial|financeiro]] e [[telecommunications|telecomúnicacoes]] no Brasil dependem fortemente de infraestrutura digital vulnerável a ataques destrutivos - **Spillover geopolitico** - o NotPetya, inicialmente direcionado a Ucrania, causou danos colaterais globais incluindo operações de empresas com presenca no Brasil (Maersk, Merck) - **Ransomware como cortina de fumaca** - grupos podem utilizar wipers disfarrados de ransomware para mascarar espionagem previa, técnica já observada em campanhas contra LATAM - **Baixa maturidade em DR** - muitas organizacoes brasileiras não possuem planos de recuperacao de desastres testados regularmente - **Setor energetico** - a crescente digitalizacao do setor energetico brasileiro (smart grids, SCADA) amplia a superficie de ataque para operações destrutivas ## Referências - [MITRE ATT&CK - T1561](https://attack.mitre.org/techniques/T1561/) - [CISA - Destructive Malware Analysis](https://www.cisa.gov/news-events/analysis-reports) - [Microsoft - Destructive malware targeting Ukrainian organizations](https://www.microsoft.com/en-us/security/blog/2022/01/15/destructive-malware-targeting-ukrainian-organizations/) - [SentinelOne - A Year of Wipers in Ukraine](https://www.sentinelone.com/labs/) - [Mandiant - APT33 and Destructive Operations](https://www.mandiant.com/resources/blog)