Ransomware crypto24 cega antivírus

Postado por Gerson Raymond em set 28, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

Crypto24: o ransomware que “cega” o antivírus e eleva o risco de dupla extorsão

Em um cenário de ameaças digitais cada vez mais sofisticado, o grupo de ransomware Crypto24 desponta como uma das campanhas mais agressivas e tecnicamente refinadas dos últimos tempos. Identificado recentemente pela Trend Micro, esse ransomware apresenta uma estratégia que vai além da simples criptografia de dados: sua capacidade de neutralizar antivírus e sistemas de detecção de endpoint (EDR) de grandes empresas é sua maior ameaça. Organizações de setores estratégicos como serviços financeiros, manufatura, entretenimento e tecnologia, nos Estados Unidos, Europa e Ásia, estão no alvo dessa operação altamente planejada.

Anatomia do ataque: evasão, persistência e exfiltração

A incursão do Crypto24 ocorre em múltiplas fases, combinando técnicas legítimas de administração com malware customizado. Após obter acesso inicial — muitas vezes por meio de ranqueamento ou exploração — o invasor cria ou reativa contas administrativas utilizando comandos nativos do Windows (como net.exe), estabelecendo pontos de persistência. A próxima etapa envolve reconhecimento interno, executado por meio de um arquivo de lote chamado “1.bat”, que invoca WMIC para coletar informações detalhadas sobre sistema, usuários e configuração de hardware.

A persistência se consolida com a criação de tarefas agendadas e serviços maliciosos via sc.exe — em particular, o “WinMainSvc”, usado como keylogger, e o “MSRuntime”, responsável pelo payload principal. Ambos são configurados para execução automática.

A “arma secreta”: cegando o antivírus

O diferencial mais alarmante do Crypto24 está em sua versão customizada da ferramenta de código aberto RealBlindingEDR, que atua diretamente contra soluções de segurança de quase 30 fornecedores renomados — incluindo Kaspersky, McAfee, Bitdefender e Trend Micro. A ferramenta identifica os drivers desses antivírus e desativa seus callbacks de nível de kernel, efetivamente “cegando” os mecanismos de detecção.

Além disso, os atacantes utilizam ferramentas legítimas como o gpscript.exe para executar desinstaladores dos próprios antivírus, como o XBCUninstaller.exe da Trend Micro — uma ação que dribla a defesa baseada em assinatura e impede a proteção de sistemas que já contam com camadas de segurança robusta.

Dupla extorsão: exfiltração seguida de criptografia

Antes de ativar o ransomware, os operadores realizam uma extensa exfiltração de dados. Utilizam um keylogger sofisticado, mascarado como “Microsoft Help Manager”, que é protegido contra ambientes de sandbox ao verificar se está sendo executado dentro do processo legítimo svchost.exe. As informações capturadas são então enviadas ao Google Drive via API WinINET, uma forma inteligente de evitar levantar suspeitas, por parecer tráfego legítimo.

Somente após validar o upload — por meio de um teste simples com um arquivo “Test.txt” — o ransomware criptografa os dados e elimina as cópias de sombra (shadow copies) do Windows, dificultando a recuperação sem pagamento de resgate.

Mitigações recomendadas: defesa em camadas para ameaças furtivas

Privilégio mínimo: restringir criação e uso de contas administrativas, desativando contas padrão não utilizadas.
Monitoramento de ferramentas legítimas: identificar uso fora do padrão de utilitários como PSExec, AnyDesk, RDP, WMIC.
EDR com autoproteção e detecção comportamental: impedir desinstalação ou modificação por usuários e detectar padrões anômalos – como hooks sendo desativados.
Framework Zero Trust: adotar uma postura de “nunca confiar, sempre verificar”, mesmo dentro do perímetro corporativo.
Resposta a incidentes rápida e proativa: reduzir o tempo de permanência do atacante na rede com investigação, contenção e remediação ágeis.

Conclusão

O Crypto24 marca uma evolução na guerra cibernética: não apenas sequestra dados com criptografia sofisticada, mas, desde o início, busca maximizar o impacto por meio da exfiltração de informações sigilosas e da neutralização ativa de defesas de segurança. Sua combinação de técnicas “living off the land”, vetores legítimos capturados e desativação de antivírus tradicionais revela uma maturidade operacional rara. Para enfrentar esse nível de ameaça, organizações precisam ir além das ferramentas: precisam de arquiteturas de segurança resilientes, comportamento defensivo adaptativo e respostas dinâmicas. A chave para mitigar esse tipo de ataque está na preparação constante — uma defesa que se antecipa, detecta e isola antes que o dano se concretize.

Referência bibliográfica