O grupo de cibercriminosos responsável pelo Crazy ransomware encontrou uma forma engenhosa de passar despercebido nas redes corporativas. Em vez de usarem apenas malware personalizado, os atacantes estão a abusar de software legítimo de monitorização de funcionários e de suporte remoto, como o Net Monitor for Employees Professional e o SimpleHelp, para manterem o acesso aos sistemas e prepararem o terreno para o ataque final.
Segundo os detalhes partilhados num relatório da Huntress, esta estratégia permite que os piratas informáticos se misturem com as atividades administrativas normais da empresa. Ao utilizarem ferramentas que os administradores de sistemas já usam no dia a dia, conseguem evitar que os alertas de segurança disparem de imediato, garantindo uma persistência silenciosa e perigosa.
O disfarce perfeito através de software oficial
Num dos casos analisados, os atacantes instalaram o agente de monitorização diretamente do site do programador através do utilitário Windows Installer. Uma vez dentro do sistema, tinham controlo total: podiam ver o ecrã da vítima em tempo real, transferir ficheiros e executar comandos. Para garantir que não perdiam o acesso, descarregaram também o cliente SimpleHelp via comandos de PowerShell, disfarçando o ficheiro com nomes semelhantes aos de processos legítimos do Visual Studio ou do OneDrive.
Além de garantirem esta "porta traseira" redundante, os criminosos tentaram desativar o Windows Defender, eliminando os serviços associados à proteção do sistema. Com o caminho livre, o grupo focou-se num objetivo bem específico antes de cifrar os dados: a procura por ativos financeiros digitais.
Vigilância focada em carteiras de criptomoedas
A investigação revelou que os atacantes configuraram alertas no software de suporte para serem avisados sempre que um dispositivo acedia a palavras-chave relacionadas com criptomoedas. A lista de alvos incluía serviços de carteiras populares como a MetaMask, Exodus e Blockchain, bem como plataformas de troca como a Binance, Bybit e KuCoin.
Este método demonstra que o grupo Crazy não quer apenas o dinheiro do resgate dos dados, mas também o roubo direto de ativos das carteiras digitais dos funcionários. Para as organizações, o aviso é claro: é fundamental monitorizar instalações não autorizadas de ferramentas de gestão remota. Como muitas destas intrusões começaram com credenciais de VPN roubadas, a implementação de autenticação multifator (MFA) em todos os acessos remotos é a primeira e mais importante linha de defesa para evitar que estes piratas entrem na rede.
Nenhum comentário
Seja o primeiro!