Uma versão em desenvolvimento da plataforma de ransomware-as-a-service (RaaS) chamada ShinySp1d3r foi descoberta, revelando detalhes preliminares dessa nova operação de extorsão.
O ShinySp1d3r é um RaaS emergente, criado por atores de ameaça ligados aos grupos ShinyHunters e Scattered Spider.
Até agora, esses grupos utilizavam encryptors de outras gangues conhecidas, como ALPHV/BlackCat, Qilin, RansomHub e DragonForce.
Agora, desenvolvem sua própria infraestrutura para conduzir ataques diretamente, tanto por sua equipe quanto por afiliados.
As primeiras informações sobre esse RaaS foram divulgadas em um canal do Telegram, onde o coletivo “Scattered Lapsus$ Hunters” — formado por membros dos três grupos: Scattered Spider, Lapsus$ e ShinyHunters — tentou extorquir vítimas de roubo de dados, incluindo empresas como Salesforce e Jaguar Land Rover (JLR).
O site BleepingComputer identificou uma amostra do ShinySp1d3r após seu upload no VirusTotal.
Desde então, novas amostras foram analisadas, permitindo um estudo mais aprofundado do encryptor desse ransomware.
Embora algumas imagens o identifiquem como ‘Sh1nySp1d3r’, fontes ligadas ao desenvolvimento confirmaram ao BleepingComputer que o nome oficial será ShinySp1d3r, com futuras versões já atualizando essa nomenclatura.
Diferentemente de muitos grupos que reutilizam códigos vazados de ransomware como LockBit ou Babuk, o encryptor foi criado do zero pelos ShinyHunters.
Por isso, o encryptor para Windows apresenta diversas funcionalidades, algumas comuns e outras inéditas.
Segundo a análise da empresa de recuperação de ransomware Coveware, as principais características técnicas incluem:
- Interceptação da função EtwEventWrite para impedir o registro de eventos no Windows Event Viewer.
- Encerramento de processos que mantêm arquivos bloqueados, impedindo a criptografia, por meio da identificação de processos com handles abertos.
- Função ‘forceKillUsingRestartManager’, que utiliza a API Restart Manager, ainda não implementada.
- Preenchimento do espaço livre do disco com arquivos temporários contendo dados aleatórios, dificultando a recuperação de arquivos deletados.
- Finalização de processos e serviços listados de forma hardcoded.
- Verificação da memória disponível para definir o tamanho ideal dos blocos de dados a serem lidos durante a criptografia.
- Propagação na rede local por meio de criação de serviços via SCM, execução via WMI (Win32_Process.Create) e implantação por Group Policy Objects (GPO) com scripts de inicialização.
- Mecanismos anti-análise que sobrescrevem buffers de memória para dificultar análises forenses.
- Exclusão de Shadow Volume Copies, impedindo a recuperação pelos volumes de restauração do Windows.
- Busca por hosts com compartilhamentos de rede abertos para tentativa de criptografia remota.
- Criptografia de arquivos usando diferentes tamanhos de chunks e offsets, técnica pouco compreendida que pode estar relacionada ao armazenamento de informações criptografadas no cabeçalho do arquivo.
O ransomware utiliza o algoritmo ChaCha20 para criptografia, protegendo a chave privada com RSA-2048.
Cada arquivo criptografado recebe uma extensão única, gerada por uma fórmula matemática, segundo os ShinyHunters.
Os arquivos criptografados apresentam um header que começa com "SPDR" e termina com "ENDS".
Esse cabeçalho contém metadados, como o nome original do arquivo, a chave privada criptografada e outras informações relevantes.
Em todas as pastas afetadas, o ransomware deixa uma nota de resgate chamada R3ADME_1Vks5fYe.txt, que explica o ocorrido, orienta sobre a negociação do valor e disponibiliza um endereço TOX para comunicação.
A nota também menciona um link para um site Tor de dados vazados, atualmente com URL onion inválida.
A mensagem inicial da nota diz:
“Esta comunicação é emitida em nome do grupo ShinySp1d3r.
Destina-se exclusivamente a profissionais de resposta a incidentes, lideranças técnicas ou conselheiros externos designados.
Um evento crítico de criptografia ocorreu na sua infraestrutura.
Certos ativos digitais tornaram-se inacessíveis e alguns dados foram espelhados com segurança.
O objetivo desta mensagem não é causar interrupções, mas oferecer uma oportunidade confidencial para solucionar a situação de forma eficiente e permanente.”
A nota alerta que as vítimas têm até três dias para iniciar as negociações, antes que os dados sejam publicados no site de vazamento.
Além da nota de resgate, o ransomware altera o wallpaper do Windows para alertar a vítima sobre o incidente e reforçar a leitura do arquivo de resgate.
Embora o BleepingComputer tenha recebido apenas a versão para Windows, os ShinyHunters afirmam já ter desenvolvido uma build CLI com configuração em tempo de execução, e estão próximos de finalizar versões para Linux e ESXi.
Também está em desenvolvimento uma “lightning version”, escrita em assembly puro, focada em velocidade, semelhante a outra variante conhecida chamada LockBit Green.
“Estamos trabalhando em uma versão ‘lightning’ em pure ASM, similar ao LockBit Green — outra variante de locker para Windows, mas muito simples”, disseram ao BleepingComputer.
Por se tratar de uma build de debug ainda em desenvolvimento, espera-se que novas funcionalidades sejam adicionadas conforme o projeto avance.
Quanto à operação do RaaS, os ShinyHunters afirmam que ela será conduzida por eles sob o nome coletivo Scattered LAPSUS$ Hunters (SLH), simbolizando a aliança entre os três grupos.
“Sim, o líder será eu/nós, ‘ShinyHunters’, mas a operação será realizada sob a marca Scattered LAPSUS$ Hunters (SLH), daí o nome ShinySp1d3r, para demonstrar a cooperação entre esses grupos”, explicaram.
O grupo também afirma que empresas do setor de saúde — incluindo farmacêuticas, hospitais, clínicas e seguradoras — não serão alvo do encryptor.
No entanto, relatos anteriores indicam que essas políticas costumam ser quebradas ao longo do tempo por outras gangues.
Além disso, assim como em operações similares, ataques contra a Rússia e países da Comunidade dos Estados Independentes (CIS) são proibidos, pois muitos afiliados são dessas regiões e poderiam ser alvos de investigações policiais.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...