Um novo grupo de ransomware, batizado de Crypto24, está elevando o nível dos ataques cibernéticos ao empregar uma tática ousada: desativar as defesas da rede antes mesmo de iniciar a criptografia. Esse método sofisticado permite que os invasores operem praticamente sem resistência, comprometendo sistemas críticos de grandes organizações. Para profissionais de TI, administradores de sistemas e entusiastas de segurança digital, entender o modus operandi do ransomware Crypto24 é essencial para antecipar riscos e reforçar defesas.
O grupo Crypto24 tem demonstrado habilidades avançadas em engenharia reversa de ferramentas de segurança e no desenvolvimento de exploits personalizados. Sua abordagem não se limita à simples instalação de ransomware; eles criam uma cadeia de ataque complexa, que inclui reconhecimento da rede, movimentação lateral, roubo de credenciais e desativação de softwares de proteção antes da criptografia final. Com isso, a ameaça se torna muito mais difícil de ser detectada ou mitigada.
Compreender o funcionamento do malware Crypto24 é crítico porque ele expõe vulnerabilidades em produtos de segurança renomados. Mesmo soluções robustas de grandes fornecedores podem ser contornadas se a organização não adotar uma estratégia de defesa em camadas. Este artigo explora detalhadamente quem é o grupo Crypto24, como sua ferramenta de evasão funciona e quais lições podem ser tiradas para aumentar a resiliência cibernética.
Quem é o grupo de ransomware Crypto24?
O Crypto24 é um grupo relativamente novo, mas com fortes indícios de que seus integrantes vieram de operações de ransomware extintas. O grupo foca principalmente em alvos de setores financeiros, manufatura e empresas de tecnologia, operando em múltiplas regiões, incluindo América do Norte, Europa e Ásia.
Pesquisas sugerem que o grupo combina técnicas tradicionais de ransomware com ferramentas personalizadas de evasão, o que lhes permite atingir grandes empresas com maior eficiência. Diferente de ataques oportunistas, o grupo Crypto24 realiza planejamento detalhado, aproveitando-se de vulnerabilidades conhecidas e explorando credenciais administrativas comprometidas.
A anatomia do ataque: como o Crypto24 se infiltra e persiste
O ataque do Crypto24 segue uma cadeia cuidadosamente estruturada, começando pelo comprometimento inicial e avançando para a preparação do ataque principal. Cada fase é projetada para reduzir a detecção e maximizar o impacto final.
Fase de reconhecimento e persistência
Após ganhar acesso inicial à rede, os operadores do Crypto24 executam scripts de reconhecimento para mapear a infraestrutura interna. Eles identificam servidores, estações de trabalho e privilégios administrativos disponíveis. Em seguida, criam contas de usuário e serviços maliciosos, como WinMainSvc e MSRuntime, garantindo persistência mesmo após reinicializações ou tentativas de mitigação.
O keylogger e a movimentação lateral
O keylogger WinMainSvc.dll é implantado para capturar credenciais e outras informações sensíveis dos usuários. O grupo também explora compartilhamentos SMB e protocolos internos para se mover lateralmente, ampliando o controle sobre a rede comprometida antes da execução do ransomware principal.
RealBlindingEDR: a arma secreta para cegar as defesas
Antes de iniciar a criptografia, o Crypto24 desativa os mecanismos de proteção do sistema usando uma ferramenta personalizada chamada RealBlindingEDR. Para entender sua eficácia, é importante saber que uma solução EDR (Endpoint Detection and Response) monitora continuamente eventos e atividades suspeitas no endpoint, atuando como uma camada de defesa avançada contra ameaças.
O RealBlindingEDR foi projetado para desabilitar drivers de kernel e módulos de detecção das principais soluções de segurança. Entre os fornecedores afetados estão Trend Micro, Kaspersky, Sophos, SentinelOne, McAfee e Bitdefender. A técnica é reforçada pelo uso de ferramentas legítimas, como o XBCUninstaller.exe da Trend Micro, permitindo que os atacantes removam o agente de segurança sem gerar alertas, demonstrando uma combinação de astúcia e conhecimento técnico profundo.
O impacto final: exfiltração de dados e criptografia
Com as defesas desativadas, o malware Crypto24 inicia a exfiltração de dados, enviando arquivos críticos para um armazenamento remoto, como o Google Drive, usando ferramentas personalizadas. Essa etapa é seguida pela eliminação de cópias de sombra do Windows, prevenindo a recuperação de dados e aumentando a pressão sobre as vítimas.
Finalmente, o ransomware é ativado, criptografando arquivos essenciais e deixando a organização vulnerável à perda total de dados ou à necessidade de pagamento do resgate.
O que o ataque do Crypto24 nos ensina sobre segurança
O ataque do Crypto24 reforça que a segurança não pode depender de uma única camada de proteção. Ao focar na desativação de soluções de segurança, os atacantes demonstram que defesas isoladas são insuficientes.
Organizações devem implementar estratégias de defesa em profundidade, incluindo:
- Monitoramento contínuo de atividades suspeitas.
- Revisão rigorosa de permissões administrativas.
- Backups off-site e independentes de cópias de sombra.
- Educação constante de funcionários sobre phishing e engenharia social.
A lição central é clara: prevenir é mais eficaz do que remediar. Com o aumento de ataques sofisticados como o do ransomware Crypto24, cada camada de defesa conta para reduzir riscos e proteger ativos críticos.
O ransomware Crypto24 representa um alerta significativo para a cibersegurança corporativa. Combinando movimentação lateral, keyloggers e ferramentas de evasão de EDR, ele expõe a necessidade de políticas robustas de segurança, backups seguros e atenção redobrada ao comportamento das redes corporativas. Para profissionais de TI e estudantes de cibersegurança, entender essas técnicas é essencial para fortalecer defesas e evitar perdas críticas.
