O grupo de ransomware Crypto24 tem utilizado utilitários personalizados para evadir soluções de segurança em redes comprometidas, exfiltrar dados e criptografar arquivos.
A primeira atividade do grupo foi reportada nos fóruns do site BleepingComputer em setembro de 2024, embora nunca tenha alcançado níveis notáveis de notoriedade.
Segundo pesquisadores da Trend Micro que acompanham as operações do Crypto24, os hackers atingiram várias grandes organizações nos Estados Unidos, Europa e Ásia, focando em alvos de alto valor nos setores financeiro, de manufatura, entretenimento e tecnologia.
Os pesquisadores de segurança relatam que o Crypto24 parece ser conhecedor e bem-verseado, sugerindo uma grande possibilidade de que foi formado por antigos membros nucleares de operações de ransomware agora extintas.
Após obterem acesso inicial, os hackers do Crypto24 ativam contas administrativas padrão em sistemas Windows dentro de ambientes empresariais ou criam novas contas locais de usuário para acesso persistente e discreto.
Seguindo uma fase de reconhecimento usando um arquivo batch personalizado e comandos que enumeram contas, perfilam hardware do sistema e o layout do disco, o invasor cria serviços maliciosos do Windows e tarefas agendadas para persistência.
O primeiro é o WinMainSvc, um serviço de keylogger, e o segundo é o MSRuntime, um carregador de ransomware.
Em seguida, os operadores do Crypto24 usam uma variante personalizada da ferramenta de código aberto RealBlindingEDR, que visa agentes de segurança de vários fornecedores desabilitando seus drivers de kernel:
- Trend Micro
- Kaspersky
- Sophos
- SentinelOne
- Malwarebytes
- Cynet
- McAfee
- Bitdefender
- Broadcom (Symantec)
- Cisco
- Fortinet
- Acronis
O RealBlindingEDR personalizado do Crypto24 extrai o nome da empresa dos metadados do driver, compara com uma lista codificada e, se houver correspondência, desabilita hooks/callbacks em nível de kernel para "cegar" os motores de detecção.
Concernente especificamente aos produtos da Trend Micro, o relatório menciona que, se o invasor tem privilégios de administrador, eles executam um script batch que invoca o legítimo 'XBCUninstaller.exe' para desinstalar o Trend Vision One.
"Observamos casos em que os atacantes executaram o desinstalador do Trend Vision One, XBCUninstaller.exe, via gpscript.exe", dizem os pesquisadores da Trend Micro.
"O arquivo em questão é uma ferramenta legítima fornecida pela Trend Micro para solução de problemas, especificamente para resolver questões como corrigir agentes inconsistentes dentro das instalações do Trend Vision One."
"Seu uso pretendido é para desinstalar limpidamente o Endpoint BaseCamp quando necessário para manutenção ou suporte."
Esta ferramenta essencialmente impede a detecção de payloads úteis subsequentes como o keylogger (WinMainSvc.dll) e o ransomware (MSRuntime.dll), ambos ferramentas personalizadas.
O keylogger, que se disfarça como "Gerenciador de Ajuda da Microsoft", registra tanto os títulos de janelas ativas quanto as teclas pressionadas, incluindo teclas de controle (Ctrl, Alt, Shift, teclas de função).
Os invasores também usam compartilhamentos SMB para movimentação lateral e preparação de arquivos para extração.
Todos os dados roubados são exfiltrados para o Google Drive usando uma ferramenta personalizada que aproveita a API WinINET para interagir com o serviço do Google.
O payload de ransomware é executada após a exclusão de cópias de sombra de volume em sistemas Windows para impedir a recuperação fácil.
A Trend Micro não fornece detalhes sobre a parte do ransomware do ataque, como esquema de criptografia, as notas de resgate, métodos de comunicação, caminhos de arquivos visados, idioma ou pistas de marca.
A empresa de cibersegurança compartilhou, no final do relatório, uma lista de indicadores de comprometimento que outros defensores podem usar para detectar e bloquear ataques de ransomware Crypto24 antes que alcancem os estágios finais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...