Os operadores por trás da cepa Crypto24 estão empregando ataques altamente coordenados e de vários estágios que combinam ferramentas legítimas do sistema com malware sob medida para infiltrar redes, manter a persistência e escapar dos sistemas de detecção e resposta de terminais (EDR).
De acordo com análises detalhadas de micro pesquisadores de tendências, esses adversários têm como alvo organizações de alto perfil na Ásia, Europa e Estados Unidos, com um foco particular em setores de serviços financeiros, manufatura, entretenimento e tecnologia.
Os ataques geralmente se desenrolam durante o horário fora do pico para minimizar a detecção, alavancando ferramentas como o PSEXEC para movimento lateral, Anydesk para acesso remoto e keyloggers para a colheita de credenciais, enquanto exfilita dados pelo Google Drive.
Essa abordagem “Living Off the Land” (LOTL) integra atividades maliciosas sem problemas às operações de TI de rotina, permitindo que os atores de ameaças criem contas privilegiadas, redefinam senhas e reativam perfis administrativos padrão usando utilitários nativos do Windows, como o Net.exe.
A persistência é ainda mais garantida por meio de tarefas programadas e serviços maliciosos, disfarçados de processos legítimos como svchost.exe, que executam scripts em lote de diretórios ocultos como %ProgramData % Update para implantar cargas pagas, incluindo keyloggers e o próprio ransomware.
Campanhas de ransomware Crypto24
De acordo com o relatórioA cadeia de ataque começa com o reconhecimento, onde scripts como o 1.BAT utilizam comandos WMIC para enumerar partições de disco, memória física, contas de usuários locais e associações de grupo, fornecendo aos atacantes um perfil abrangente do sistema para exploração direcionada.
A escalada de privilégios a seguir, empregando runas.exe e psexec para executar comandos elevados, adicionando usuários recém -criados a administradores e grupos de usuários de desktop remotos.
A evasão de defesa atinge os níveis avançados com uma variante personalizada do Real Clobindingedr, uma ferramenta de código aberto que desativa os retornos de chamada de EDR carregando motoristas vulneráveis, como WDFilter.sys ou MPKSLDRV.SYS, direcionando especificamente produtos de fornecedores, incluindo Trend Micro, Kaspersky e Bitdefender.
Essa ferramenta, detectada em caminhos como %UserProfile % AppData Local Temp Low avb.exe, filtra retornos de chamada com base nos metadados da empresa, demonstrando o profundo conhecimento dos atores sobre pilhas de segurança.
O movimento lateral explora serviços remotos, permitindo o RDP por meio de modificações de registro e regras de firewall, enquanto ferramentas como scanners IP identificam pontos de extremidade adicionais.
O acesso de credenciais envolve a implantação de winmainsvc.dll como um serviço KeyLogger, que captura teclas de tecla, registra as chaves de controle e envia dados para o Google Drive usando chamadas da API WININET após a verificação da funcionalidade com arquivos de teste.
Em estágios posteriores, os atacantes patch termosrv.dll para permitir múltiplos Sessões RDPInstale o FightVNC para o controle remoto aprimorado e tente a implantação do ransomware via msruntime.dll Services.
Quando as execuções iniciais são bloqueadas por soluções de segurança, os adversários recorrem a abusar de desinstaladores legítimos como Xbcuninstaller.exe através do GPScript.exe de compartilhamentos de rede, destacando a exploração pós-conclusão e não as vulnerabilidades inerentes.
Essa sequência culmina nas notas de criptografia e resgate, frequentemente precedida pela exfiltração e vigilância de dados.
Recomendações defensivas
Para combater essas ameaças adaptativas, as organizações devem priorizar configurações robustas de segurança, incluindo os recursos de autoproteção do agente para evitar adulteração com agentes de EDR e aderir ao princípio do menor privilégio.
A implementação de uma estrutura de confiança zero, com verificação contínua do acesso, juntamente com auditorias regulares de contas privilegiadas, tarefas programadas e criações de serviço, pode interromper os mecanismos de persistência.
Limitando o RDP e o uso de ferramentas remotas, aplicando Autenticação multifatorial (MFA) e monitoramento para usos anômalos de lolbins como sc.exe ou reg.exe são essenciais.
Manter backups offline, garantir soluções de segurança atualizadas e treinar os usuários em riscos de phishing reforçam ainda mais as defesas.
A resposta rápida dos incidentes, incluindo a caça proativa para os COI, como o tráfego de saída incomum para os serviços em nuvem, permanece fundamental para mitigar os tempos de permanência prolongados que permitem extenso reconhecimento e exfiltração nas operações de criptografia24.
À medida que os grupos de ransomware evoluem para estudar e ignorar as defesas, a adaptação ágil das posturas de segurança cibernética é imperativa à resiliência corporativa.
AWS Security Services:10-Point Executive Checklist -Download for Free