A evolução do ransomware para wipers: por que a destruição (não o resgate) virou o segundo ato dessa história

Nos últimos anos, o sequestro de dados por ransomware deixou de ser o único pesadelo dos CISOs. Cresceu uma classe de ataques destrutivos, os wipers, projetados para apagar ou corromper dados de forma irreversível — muitas vezes disfarçados de ransomware para confundir vítimas e equipes de resposta. Esse “deslocamento de motivo” (do ganho financeiro para o impacto operacional e geopolítico) mudou a forma como devemos pensar em defesa, continuidade e resposta a incidentes.

A seguir, um guia técnico e atual, com casos reais, pontos de atenção táticos e um plano objetivo de mitigação — incluindo como a Raidbr reduz a superfície de ataque, detecta rapidamente destruição em andamento e acelera a recuperação.

1) Conceitos rápidos

• Ransomware: malware que criptografa dados e exige resgate para decriptar.

• Wiper: malware que apaga/corrompe dados, sem intenção de recuperação. Pode mascarar-se de ransomware (ex.: NotPetya) para ofuscar autoria/objetivo.

Por que isso importa agora? Relatórios recentes mostram crescimento de campanhas destrutivas e híbridas (cripto + wipe). Em 2025, a Trend Micro analisou um RaaS emergente (Anubis) com “wipe mode” opcional — um duplo risco: se a vítima não paga (ou mesmo pagando), os dados podem ser eliminados.

2) Linha do tempo: da extorsão para a destruição encoberta

• 2012–2016 | Shamoon e afins: a comunidade viu os primeiros wipers modernos no Oriente Médio, mirando impacto operacional (pistas públicas, mas omitidas aqui por foco na evolução recente).

• 2017 | NotPetya: wiper camuflado de ransomware. Causou paralisações globais e bilhões em prejuízos; oficialmente atribuído ao Estado russo por diversos governos.

• 2022 | Guerra na Ucrânia: pico histórico de múltiplas famílias de wipers (HermeticWiper, WhisperGate, CaddyWiper, IsaacWiper, etc.), muitas “rápidas e simples”, porém repetidas para desgaste.

• 2022 | Ataque à Viasat (AcidRain): wiper direcionado a modems de satélite, interrompendo comunicações e afetando até turbinas eólicas na Alemanha; posteriormente associado ao GRU.

• 2022–2023 | “Ransomware” que é wiper: Azov se apresentou como ransomware, mas pesquisas mostraram ser wiper polimórfico com destruição irrecuperável.

• 2023–2024 | Conflitos regionais: surgem famílias como BiBi-Wiper (Linux e Windows) em ataques a organizações em Israel, com motivação política/psicológica, não financeira.

• 2025 | Híbridos em RaaS: operações de ransomware já vêm com funções de wipe embutidas — tendência que reduz o poder de barganha da vítima e aumenta o risco de perda total.

3) TTPs que diferenciam wipers (e o que observar no SOC)

Entradas comuns

• Abuso de credenciais e exploração em appliances de borda (VPNs, firewalls, e-mail gateways) para acesso rápido e persistente.

• Vetores tradicionais: phishing, downloads maliciosos, exploração de vulnerabilidades e RDP exposto.

Execução e persistência

• Uso de drivers legítimos/certificados roubados (ex.: HermeticWiper) para evadir EDR e acelerar destruição em massa.

• Sobrescrita direcionada de MBR/partições, metadados de FS (NTFS MFT/Journals), ou intermitente por arquivos (técnicas vistas em Azov).

• “Living on the edge”: manter backdoors em equipamentos de borda não apagados durante o ataque para reatacar mesmo após a limpeza.

Alvos além do endpoint

• Dispositivos embarcados (modems/roteadores MIPS) — vide AcidRain.

• Infra crítica e OT com objetivo de interromper serviços (ex.: comunicações satelitais).

4) Métricas que importam (para o board e para o time técnico)

• Tempo para detecção (MTTD) e contenção (MTTC): em campanhas atuais, a janela entre o acesso inicial e o wipe pode ser semanas ou dias — e, em cenários de guerra, horas. Mandiant observou preferência por wipers “leves” (ex.: CaddyWiper) com reuso rápido e pequenas mutações.

• Taxa de recuperação: em wipers, RTO/RPO dependem exclusivamente de backups imutáveis, isolados e testados; pagar resgate não ajuda (não há decriptação possível). Evidências de 2017–2024 mostram wipers disfarçados de ransomware justamente para desorientar resposta.

• Superfície de borda: falhas em appliances expostos continuam entre os maiores facilitadores de campanhas destrutivas recentes.

5) Casos reais

• NotPetya (2017) — wiper com “cara” de ransomware, espalhou-se globalmente, causando danos massivos a cadeias logísticas e farmacêuticas; amplamente atribuído à Rússia.

• HermeticWiper / WhisperGate / CaddyWiper (2022, Ucrânia) — série de wipers com técnicas variadas; HermeticWiper usou certificado roubado; CaddyWiper favorecido por ataques rápidos e repetidos.

• AcidRain (2022) — wiper ELF para modems/roteadores (MIPS), causou apagão de comunicações KA-SAT e impactos colaterais na Europa; associado ao GRU.

• Azov (2022) — vendido como “ransomware”, mas é wiper polimórfico com backdooring de executáveis.

• BiBi-Wiper (2023–2024) — variantes para Linux e Windows, usadas em ataques durante o conflito Israel–Hamas, com foco em sabotar operações.

6) Estratégia de defesa moderna contra wipers

6.1. Prevenção e redução de superfície

1. Gerenciamento rigoroso de borda: inventariar e reduzir exposição (VPN, e-mail, firewalls), aplicar patching acelerado e hardening; monitorar exploração de zero-days em appliances.

2. Princípios Zero Trust: MFA universal, segmentação de rede, controles de lateral movement (LDAP hardening, SMB, RDP, WinRM).

3. Controle de privilégios: PAW para admins, JIT/JEA, auditoria de drivers assinados e bloqueio de LOLBins críticos.

4. Email & Web Security: detecção de payloads destrutivos e bloqueio de macros/scripts.

6.2. Detecção e resposta

5. EDR/XDR com regras para wipers:

   • Sinais: sobrescrita de MBR/partições, deleção em massa, acesso incomum a raw disk, spikes de fsutil, cipher /w, dd, shred, e drivers suspeitos.

   • Telemetria de appliances de borda (NetFlow + logs) no SIEM para caçar persistências fora do endpoint.

6. Playbooks específicos de “ataque destrutivo”: isolar rápido (NAC/SDN), desligamentos seletivos, coleta mínima de forense antes do wipe total; priorizar contêineres/VMs críticos.

6.3. Resiliência e recuperação

7. Backups imutáveis e fora de banda (air-gap, S3 Object Lock/WORM, snapshots) com teste de restauração frequente (não só verificação de integridade); manter cadeia fria de credenciais de recuperação. Sem backup imutável, wiper = perda total.

8. Tabela de criticidade + RTO/RPO realistas: priorizar serviços “core” e simular cenários de zero dados.

9. Comunicação de crise: templates prontos para reguladores, clientes e imprensa; coordenação com provedores e threat intel.

7) Como a Raidbr resolve o problema (do pré ao pós-incidente)

Arquitetura e serviços recomendados pela Raidbr para reduzir risco e acelerar a volta ao ar:

• Avaliação de Superfície de Borda (Edge Exposure Assessment): varredura contínua de appliances expostos, validação de config hardening e SLA de patching em ciclo curto.

• XDR Gerenciado 24×7 com detecções específicas de wiper (MBR tampering, raw disk I/O anômalo, deleção/sobrescrita em massa, abuso de drivers assinados) e ameaças híbridas (ransom+wipe).

• Backups Imutáveis + DR Runbooks: desenho e operação de cofres de backup (air-gap/immutability), rotas de restauração exercitadas trimestralmente.

• Threat Hunting contínuo em appliances de borda (“living on the edge”), com hipóteses baseadas em TTPs Mandiant/CISA para campanhas destrutivas.

• Tabletop Exercices (Wiper Day): simulações de destruição total para treinar decisões (cortes de rede, evidência mínima, ordem de restauração, comunicação).

• IR Retainer (pronto-emprego): equipe engajada antes da crise, com SLAs de resposta e kits forenses pré-posicionados.

• Engenharia de Zero Trust: MFA, segmentação, PAM, JIT, PAW, políticas de e-mail e web, e bloqueio de LOLBins e drivers.

• Treinamento executivo: “o que perguntar” ao ver alertas de destruição, impacto em continuidade e riscos regulatórios.

Resultados que você pode esperar

• Redução do tempo de detecção/contensão em ataques destrutivos.

• Aumento da taxa de recuperação mesmo quando o atacante tenta apagar os rastros.

• Previsibilidade de RTO/RPO via restaurações testadas sob estresse.

8) Checklist rápido para seu time aplicar hoje

1. Inventariar e fechar superfícies de borda expostas desnecessárias.

2. Garantir backups imutáveis com testes de restauração documentados.

3. Habilitar regras de detecção de wiper no EDR/XDR + hunts em MBR/raw disk e picos de deleção.

4. Atualizar playbooks para cenários destrutivos (decisões em minutos).

5. Planejar e rodar um tabletop “Wiper Day” com a Raidbr nas próximas 2 semanas.

6. Revisar MFA, PAM, segmentação e controles de movimentação lateral.

Conclusão

O “novo ransomware” muitas vezes não quer o seu dinheiro — quer parar o seu negócio. O surgimento de wipers disfarçados e de operações híbridas (cripto + wipe) exige que a estratégia de ciberresiliência vá além de anti-malware e backups “convencionais”. A resposta está na observabilidade de borda, detecção comportamental de destruição e backups imutáveis testados. É exatamente aí que a Raidbr atua.

Quer saber como sua empresa resistiria a um wiper hoje?
Fale com um especialista da Raidbr: mapeamos sua superfície de borda, testamos restauração de backups, ajustamos detecções no XDR. Conte com a Raidbr para manter seu negócio de pé — mesmo quando o atacante quer derrubá-lo.

Fontes

• Trend Micro — Anubis RaaS com “wipe mode” (2025). www.trendmicro.com

• NJCCIC — A crescente ameaça de wipers (2025). cyber.nj.gov

• SecurityWeek — NotPetya era um wiper disfarçado de ransomware (2017). SecurityWeek

• The White House / WIRED — Atribuição do NotPetya à Rússia (2018). WIRED

• ESET — CaddyWiper e um ano de ataques de wiper na Ucrânia (2022–2023). We Live Security+1

• IBM X-Force — Análise do HermeticWiper (2022). IBM

• CISA/FBI — Malware destrutivo na Ucrânia e recomendações de mitigação (2022). cisa.gov

• SentinelLabs / MITRE ATT&CK — AcidRain e caso Viasat (modems MIPS) (2022–2024). SentinelOne+1

• CyberPeace Institute — Estudo de caso Viasat e atribuição GRU (2022). cyberconflicts.cyberpeaceinstitute.org

• Mandiant via WIRED — “Living on the edge” e uso repetido de CaddyWiper (2022). WIRED

• Check Point / Dark Reading — Azov como wiper polimórfico, não ransomware (2022). Check Point Research+1

• Help Net Security / Arctic Wolf / ReversingLabs — BiBi-Wiper para Linux e Windows (2023). Help Net Security+2Arctic Wolf+2