{"id":23152,"date":"2025-09-28T08:00:00","date_gmt":"2025-09-28T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23152"},"modified":"2025-08-24T20:25:30","modified_gmt":"2025-08-24T23:25:30","slug":"ransomware-crypto24-cega-antivirus","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/09\/exploits\/ransomware-crypto24-cega-antivirus\/","title":{"rendered":"Ransomware crypto24 cega antiv\u00edrus"},"content":{"rendered":"\n

Crypto24: o ransomware que “cega” o antiv\u00edrus e eleva o risco de dupla extors\u00e3o<\/strong><\/p>\n

Em um cen\u00e1rio de amea\u00e7as digitais cada vez mais sofisticado, o grupo de ransomware Crypto24 desponta como uma das campanhas mais agressivas e tecnicamente refinadas dos \u00faltimos tempos. Identificado recentemente pela Trend Micro, esse ransomware apresenta uma estrat\u00e9gia que vai al\u00e9m da simples criptografia de dados: sua capacidade de neutralizar antiv\u00edrus e sistemas de detec\u00e7\u00e3o de endpoint (EDR) de grandes empresas \u00e9 sua maior amea\u00e7a. Organiza\u00e7\u00f5es de setores estrat\u00e9gicos como servi\u00e7os financeiros, manufatura, entretenimento e tecnologia, nos Estados Unidos, Europa e \u00c1sia, est\u00e3o no alvo dessa opera\u00e7\u00e3o altamente planejada.<\/span><\/p>\n

\u00a0<\/p>\n

Anatomia do ataque: evas\u00e3o, persist\u00eancia e exfiltra\u00e7\u00e3o<\/strong><\/p>\n

A incurs\u00e3o do Crypto24 ocorre em m\u00faltiplas fases, combinando t\u00e9cnicas leg\u00edtimas de administra\u00e7\u00e3o com malware customizado. Ap\u00f3s obter acesso inicial \u2014 muitas vezes por meio de ranqueamento ou explora\u00e7\u00e3o \u2014 o invasor cria ou reativa contas administrativas utilizando comandos nativos do Windows (como net.exe), estabelecendo pontos de persist\u00eancia. A pr\u00f3xima etapa envolve reconhecimento interno, executado por meio de um arquivo de lote chamado “1.bat”, que invoca WMIC para coletar informa\u00e7\u00f5es detalhadas sobre sistema, usu\u00e1rios e configura\u00e7\u00e3o de hardware.<\/span><\/p>\n

A persist\u00eancia se consolida com a cria\u00e7\u00e3o de tarefas agendadas e servi\u00e7os maliciosos via sc.exe \u2014 em particular, o “WinMainSvc”, usado como keylogger, e o “MSRuntime”, respons\u00e1vel pelo payload principal. Ambos s\u00e3o configurados para execu\u00e7\u00e3o autom\u00e1tica.<\/span><\/p>\n

\u00a0<\/p>\n

A “arma secreta”: cegando o antiv\u00edrus<\/strong><\/p>\n

O diferencial mais alarmante do Crypto24 est\u00e1 em sua vers\u00e3o customizada da ferramenta de c\u00f3digo aberto RealBlindingEDR, que atua diretamente contra solu\u00e7\u00f5es de seguran\u00e7a de quase 30 fornecedores renomados \u2014 incluindo Kaspersky, McAfee, Bitdefender e Trend Micro. A ferramenta identifica os drivers desses antiv\u00edrus e desativa seus callbacks de n\u00edvel de kernel, efetivamente “cegando” os mecanismos de detec\u00e7\u00e3o.<\/span><\/p>\n

Al\u00e9m disso, os atacantes utilizam ferramentas leg\u00edtimas como o gpscript.exe para executar desinstaladores dos pr\u00f3prios antiv\u00edrus, como o XBCUninstaller.exe da Trend Micro \u2014 uma a\u00e7\u00e3o que dribla a defesa baseada em assinatura e impede a prote\u00e7\u00e3o de sistemas que j\u00e1 contam com camadas de seguran\u00e7a robusta.<\/span><\/p>\n

\u00a0<\/p>\n

Dupla extors\u00e3o: exfiltra\u00e7\u00e3o seguida de criptografia<\/strong><\/p>\n

Antes de ativar o ransomware, os operadores realizam uma extensa exfiltra\u00e7\u00e3o de dados. Utilizam um keylogger sofisticado, mascarado como \u201cMicrosoft Help Manager\u201d, que \u00e9 protegido contra ambientes de sandbox ao verificar se est\u00e1 sendo executado dentro do processo leg\u00edtimo svchost.exe. As informa\u00e7\u00f5es capturadas s\u00e3o ent\u00e3o enviadas ao Google Drive via API WinINET, uma forma inteligente de evitar levantar suspeitas, por parecer tr\u00e1fego leg\u00edtimo.<\/span><\/p>\n

Somente ap\u00f3s validar o upload \u2014 por meio de um teste simples com um arquivo “Test.txt” \u2014 o ransomware criptografa os dados e elimina as c\u00f3pias de sombra (shadow copies) do Windows, dificultando a recupera\u00e7\u00e3o sem pagamento de resgate.<\/span><\/p>\n

\u00a0<\/p>\n

Mitiga\u00e7\u00f5es recomendadas: defesa em camadas para amea\u00e7as furtivas<\/strong><\/p>\n