Foi identificado um novo e sofisticado grupo de ransomware, apelidado de Crypto24, que se destaca pela utilização de ferramentas personalizadas para contornar soluções de segurança, roubar dados e, por fim, encriptar os ficheiros das suas vítimas.
Apesar de a sua atividade ter sido registada pela primeira vez em setembro de 2024, o grupo tem mantido um perfil discreto. No entanto, segundo uma investigação da Trend Micro, o Crypto24 já atacou várias grandes organizações nos Estados Unidos, Europa e Ásia, visando setores de alto valor como o financeiro, industrial, tecnológico e de entretenimento. Os investigadores acreditam que o grupo é formado por membros experientes de outras operações de ransomware já extintas, dado o seu elevado conhecimento técnico.
Táticas de ataque e persistência
Após conseguirem o acesso inicial às redes empresariais, os atacantes do Crypto24 ativam contas de administrador padrão do Windows ou criam novos utilizadores locais para garantir um acesso persistente e furtivo aos sistemas.
Numa fase de reconhecimento, utilizam ficheiros batch e comandos específicos para analisar as contas existentes, o hardware do sistema e a estrutura dos discos. De seguida, criam serviços maliciosos no Windows e tarefas agendadas para manter a sua presença. Entre estes serviços estão o WinMainSvc, um keylogger que regista tudo o que é teclado, e o MSRuntime, responsável por carregar o malware de encriptação.
Como o Crypto24 consegue "cegar" o software de segurança
A tática mais alarmante do Crypto24 é o uso de uma versão personalizada da ferramenta open-source RealBlindingEDR. Este utilitário foi desenhado para desativar os drivers de kernel de uma vasta lista de programas de segurança, incluindo soluções de empresas como Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, McAfee e Bitdefender.
Ao analisar os metadados dos drivers, a ferramenta identifica o nome da empresa de segurança e, se corresponder à sua lista de alvos, desativa as funções de monitorização a baixo nível, "cegando" os motores de deteção. No caso específico dos produtos da Trend Micro, os atacantes chegam a usar o desinstalador legítimo da empresa, XBCUninstaller.exe, para remover a proteção Trend Vision One quando possuem privilégios de administrador.
Exfiltração de dados e o golpe final
Com as defesas desativadas, o grupo utiliza um keylogger que se disfarça de “Microsoft Help Manager” para registar não só as teclas premidas, mas também os títulos das janelas ativas. Desta forma, conseguem roubar credenciais e outras informações sensíveis.
Os dados roubados são posteriormente enviados para o Google Drive através de uma ferramenta personalizada. Antes de iniciarem o processo de encriptação dos ficheiros, os atacantes eliminam as cópias de segurança do Windows (Volume Shadow Copies) para impedir uma recuperação fácil dos dados, completando assim o seu ataque multifacetado.
Nenhum comentário
Seja o primeiro!