Diversos grupos de ransomware têm utilizado a plataforma de packer-as-a-service chamada Shanya para facilitar a implantação de payloads que desativam soluções de endpoint detection and response (EDR) nos sistemas das vítimas.
Serviços de packer oferecem aos cibercriminosos ferramentas especializadas para embalar seus códigos maliciosos, dificultando a detecção por ferramentas de segurança e antivírus tradicionais.
Ao obfuscar o código, esses serviços aumentam significativamente as chances de sucesso dos ataques.
A operação do packer Shanya surgiu no final de 2024 e vem ganhando rapidamente popularidade.
Segundo dados de telemetria da Sophos Security, amostras de malware que utilizam essa plataforma já foram identificadas em países como Tunísia, Emirados Árabes Unidos, Costa Rica, Nigéria e Paquistão.
Entre os grupos de ransomware confirmados que empregam o Shanya estão Medusa, Qilin, Crytox e Akira, sendo este último o que mais frequentemente utiliza o serviço.
O modus operandi envolve o envio do payload malicioso para o Shanya, que retorna uma versão “empacotada” com um wrapper customizado, aplicando técnicas de criptografia e compressão para ocultar o código original.
O serviço destaca a singularidade dos payloads gerados, com módulos carregados de forma não padrão na memória e wrappers exclusivos para cada cliente, que utilizam algoritmos de criptografia distintos.
O payload é inserido em uma cópia mapeada na memória da DLL do Windows shell32.dll.
Essa DLL mantém seções executáveis legítimas e tamanho condizente, com um caminho aparentemente normal, mas seu cabeçalho e a seção .text são sobrescritos com o payload já descriptografado.
Embora o payload permaneça criptografado dentro do arquivo empacotado, a descriptografia e descompressão ocorrem totalmente em memória, antes de ser inserido na cópia de shell32.dll, sem qualquer gravação no disco — técnica que dificulta análises forenses tradicionais.
Pesquisadores da Sophos identificaram que o Shanya realiza verificações específicas para detectar soluções EDR, invocando a função RtlDeleteFunctionTable em contextos inválidos.
Isso provoca exceções não tratadas ou crash quando executado sob depuradores em modo usuário, interrompendo análises automatizadas antes da execução completa do payload.
Grupos de ransomware costumam buscar desabilitar as ferramentas EDR presentes no sistema-alvo antes de executar as fases de roubo de dados e criptografia dos arquivos.
A execução do payload normalmente ocorre via DLL side-loading, combinando um executável legítimo do Windows, como consent.exe, com uma DLL maliciosa empacotada pelo Shanya, com nomes como msimg32.dll, version.dll, rtworkq.dll ou wmsgapi.dll.
De acordo com a Sophos, o mecanismo que desativa o EDR implanta dois drivers: o ThrottleStop.sys (também conhecido como rwdrv.sys), um driver legítimo da TechPowerUp que apresenta uma vulnerabilidade permitindo escrita arbitrária na memória do kernel, usado para escalonamento de privilégios; e o hlpdrv.sys, um driver não assinado que desativa produtos de segurança por meio de comandos provenientes do modo usuário.
O componente em modo usuário faz a enumeração dos processos e serviços ativos, comparando-os a uma extensa lista pré-configurada.
Para cada processo ou serviço correspondente, ele envia um comando “kill” ao driver malicioso no kernel, que executa a desativação.
Além dos operadores de ransomware que focam em desabilitar EDR, a Sophos também observou campanhas recentes do malware CastleRAT — distribuído pelo grupo ClickFix — que empregam o packer Shanya.
O uso de serviços de packer para preparar e ocultar ferramentas de desativação de EDR é uma prática cada vez mais comum entre grupos de ransomware.
Os pesquisadores da Sophos divulgaram uma análise técnica detalhada de alguns payloads empacotados pelo Shanya, incluindo indicadores de comprometimento (IoCs), para auxiliar na identificação e prevenção dessas campanhas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...