Como criminosos escondem ransomware dos antivírus

Shanya e o crescimento dos “packers-as-a-service”: como criminosos escondem ransomware dos antivírus

A recente investigação da Sophos — replicada por veículos como o Canaltech — joga luz sobre um fenômeno preocupante e cada vez mais profissionalizado no ecossistema do crime cibernético: o surgimento de packer-as-a-service (PaaS). Entre essas ofertas está o Shanya, uma plataforma que embala, ofusca e prepara payloads maliciosos para escapar de mecanismos de defesa modernos (antivírus, AMSI, EDR), transformando-se em um multiplicador de risco para operações de ransomware e infecções avançadas. Este texto analisa tecnicamente como a solução funciona, por que representa uma ameaça sistêmica, e — em seguida — apresenta recomendações práticas e acionáveis para equipes de segurança e administradores. 

O que é o Shanya (em termos práticos)

Shanya é um serviço comercial (no mercado clandestino) que oferece crypter/packer sob demanda. Em vez do criminoso precisar desenvolver suas próprias técnicas de ofuscação e bypass, ele envia um binário malicioso ao serviço e recebe de volta uma versão “empacotada” que:

• usa compressão e criptografia personalizadas para alterar a forma como o payload aparece na memória e no disco;

• injeta código em regiões mapeadas na memória — por exemplo, copiando código para cópias mapeadas da shell32.dll — o que faz com que o binário pareça carregado por um arquivo legítimo do Windows;

• verifica a presença de ferramentas de análise (debuggers) e de defesas (antivírus, EDR) e, quando detectadas, ativa rotinas que interrompem ou impedem a execução para evitar análise;

• combina técnicas de DLL side-loading, process hollowing e drivers com vulnerabilidades conhecidas para escalar privilégios e terminar processos de segurança. 

Ou seja: o Shanya coloca nas mãos de operadores, com pouco expertise, um artefato pronto para “matar” EDRs e operar furtivamente em memória — o que dificulta detecção por scanners baseados em assinaturas e por muitas análises forenses tradicionais. 

Técnicas-chave usadas pelo packer e seus efeitos práticos

Para entender o risco, é preciso ver o que exatamente o packer faz:

• Carregamento em memória (in-memory execution)
  Em vez de gravar o payload malicioso no disco, o packer carrega cópias mapeadas de DLLs legítimas e injeta código nessas regiões. Defesa baseada em varredura de arquivos no disco tem, assim, visibilidade reduzida.

• Anti-análise ativa
  O binário empacotado detecta se está num ambiente de análise (debugger, sandbox) ou se ferramentas EDR estão ativas. Nessas condições, ele falha propositalmente ou continua em modo “dormente”, evitando que o analista recolha indicadores úteis.

• DLL side-loading + drivers com vulnerabilidades
  O uso combinado de side-loading (executáveis legítimos carregando DLLs maliciosas) e drivers com falhas conhecidas permite à carga maliciosa escalar privilégios no kernel e, em seguida, usar um driver não assinado para encerrar processos de segurança (EDR), removendo obstáculos à execução do ransomware principal. 

• Comunicação e modularidade
  O resultado não é um simples EXE: frequentemente a cadeia envolve loaders, drivers e módulos que se comunicam e entregam payloads adicionais (ransomware, RATs, loaders secundários), tornando a campanha resiliente a simples remoções. 

Essas técnicas convergem para um efeito prático: muito maior taxa de sucesso do ataque, menos detecções iniciais, e uma janela maior para exfiltração e criptografia antes da resposta do time de segurança.

Por que isso é um problema sistêmico (não apenas mais um malware)

• Democratização do poder ofensivo: como RaaS (Ransomware-as-a-Service) tornou fácil lançar campanhas de ransomware, PaaS como Shanya tornam trivial burlar instrumentos de defesa. Isso significa que operadores com menos habilidades técnicas conseguem atingir alvos protegidos por EDRs sofisticados.

• Obsolescência de estratégias baseadas em assinaturas: ferramentas que dependem apenas de hashes, listas negras e verificações estáticas perdem eficácia contra artefatos empacotados dinamicamente.

• Aumento do custo operacional para defesa: detectar e mitigar ataques que usam Shanya exige monitoramento em runtime, análise comportamental e respostas governadas por telemetria — capacidades que nem todas as organizações têm.

• Amplificação para grupos de ransomware: Sophos e outras telemetrias já ligaram Shanya a operações notórias (Akira, Medusa, Qilin, Crytox), o que confirma sua adoção em campanhas reais de alto impacto. 

Como detectar e responder: recomendações técnicas imediatas

Defender-se contra packers modernos exige adaptação. Seguem recomendações práticas — algumas imediatas, outras estratégicas — voltadas para times de SOC, administradores e CIOs.

Ações táticas (curto prazo)

• Fortaleça a telemetria de endpoint: garanta que EDRs enviem telemetry de processos, criação de threads, carregamento de módulos e eventos de driver para SIEM. Reclame por maior nível de coleta se estiver em modo “leve”.

• Monitore comportamento em runtime: detecte anomalias como executáveis legítimos (por exemplo svchost, explorer, programas assinados) abrindo sockets incomuns, criando processos filhos atípicos, carregando DLLs de locais estranhos ou escrevendo no PEB/PE header.

• Assine e valide drivers com rigor: bloquear instalação de drivers não assinados por políticas de grupo; monitorar cargas de drivers desconhecidos e bloquear conosciências de ThrottleStop.sys ou drivers conhecidos por serem abusados.

• Hardenings imediatos: restringir contas locais com privilégios, aplicar EDR com proteção de kernel, desabilitar procedimentos de side-loading onde possível e aplicar bloqueio por lista de permissões em servidores críticos (application allowlisting).

• Revisão de telemetria para processos anti-análise: alertar para execuções que tentam detectar debuggers, ou que apresentam falhas propositais no início de execução — isto pode indicar proteção anti-análise. 

Ações estratégicas (médio prazo)

• Defesa em profundidade com foco em detecção comportamental: combinar EDR com Network Detection & Response (NDR) e análise UEBA (User and Entity Behavior Analytics) para unir sinais e detectar campanhas sofisticadas.

• Segmentação de rede e proteção de backups: isolar sistemas críticos e proteger cópias de segurança offline/immutáveis; a combinação de prevenção de EDR-kills com backups seguros reduz o incentivo de pagarem resgate.

• Threat hunting proativo: criar TTP playbooks para caça de sinais de packers: carregamento anômalo de DLLs mapeadas, execuções em memória que não tocam disco, chamadas ao kernel por componentes legados.

• Integração com threat intel: alimentar regras com IOC e indicadores comportamentais fornecidos por fornecedores confiáveis (Sophos, parceiros locais) e pesquisar por artefatos relacionados a Shanya, CastleRAT, Akira etc. 

Governança e comunicação

• Preparar playbooks específicos para incidentes onde EDRs são neutralizados — planos devem considerar que a detecção pode ocorrer primeiro por NDR, logs proxy ou anomalias de autenticação.

• Testes de resiliência e tabletop exercises com cenários que incluam packers e técnicas de disabling de EDR para validar comunicação, rollback e restauração de backups imutáveis.

• Educação executiva: explicar ao board o risco de aumento de custo de seguros e o impacto de um ataque bem-sucedido onde defesas são contornadas.

O que esperar no futuro próximo

PaaS mostra que a economia do crime continua a evoluir — mais especialização, mais “serviços” e mais profissionalização. Esperamos:

• Mais variantes de packers com opções configuráveis (módulos de anti-análise, drivers específicos, suporte a vários loaders).

• Combinação com IA para ajustar rotinas anti-detecção automaticamente (testes contra sandboxes públicas, geração de mutações).

• Maior pressão sobre provedores de segurança para desenvolver detecções baseadas em comportamento e técnicas de análise em memória que não dependam apenas de assinaturas. 

Conclusão

Shanya representa mais do que uma nova ferramenta na caixa de ferramentas dos criminosos: é um sintoma de que a economia do cibercrime está profissionalizando a capacidade de neutralizar defesas — transformando a detecção em um jogo de gato e rato cada vez mais técnico. Para defender organizações hoje não basta ter antivírus atualizado; é preciso telemetria rica, detecção comportamental, segmentação e preparação operacional.

Investir em detecção em runtime, proteção de kernels/driver e planos de resposta realistas não é mais um diferencial; é condição mínima para reduzir drasticamente a probabilidade de sucesso de campanhas que agora podem alugar, por demanda, a capacidade de “matar” suas defesas. A batalha contra ransomware e APTs deixou de ser apenas técnica: é também econômica e organizacional.

Referências Bibliográficas

• Sophos — Inside Shanya, a packer-as-a-service fueling modern attacks. Disponível em: https://news.sophos.com/en-us/2025/12/06/inside-shanya-a-packer-as-a-service-fueling-modern-attacks/. Sophos News

• Canaltech — “Serviço ajuda hackers a esconderem vírus de qualquer antivírus” (síntese da análise da Sophos). Disponível em: https://canaltech.com.br/seguranca/servico-ajuda-hackers-a-esconderem-virus-de-qualquer-antivirus/