O ransomware denominado CrazyHunter tem sido observado em campanhas dirigidas ao setor de saúde, com técnicas avançadas de evasão, distribuição via abuso de GPO e um esquema de criptografia que prioriza velocidade e robustez criptográfica.
Vítimas e escopo
Relatos da Trellix Threat Intelligence, reproduzidos pelo veículo, apontam para múltiplos ataques a instituições de saúde em Taiwan, com ao menos seis organizações conhecidas como vítimas. O foco no setor de saúde é crítico, dada a natureza sensível dos serviços e o impacto operacional de indisponibilidade em sistemas clínicos.
Mecanismo de intrusão e propagação
O fluxo de ataque documentado começa com comprometimento de contas de domínio, frequentemente devido a senhas fracas, seguido do abuso de ferramentas administrativas para propagação. Especificamente, a cadeia inclui uso de SharpGPOAbuse para distribuir o payload via Group Policy Objects, permitindo movimento lateral e implantação rápida em máquinas conectadas ao domínio.
Mecanismos de evasão e elevação
CrazyHunter emprega várias técnicas destinadas a desativar defesas e executar em memória. A análise técnica relata o uso de um approach "bring‑your‑own‑vulnerable‑driver": os atacantes abusam de um driver legítimo, porém vulnerável, da Zemana (versão do driver citada no relatório: 2.18.371.0) para elevar privilégios e encerrar processos de soluções antimalware.
Criptografia e projeto de proteção de dados
Tecnologicamente, o malware adota uma arquitetura híbrida de criptografia combinando ChaCha20 como cifrador simétrico principal e ECIES (Elliptic Curve Integrated Encryption Scheme) para proteger as chaves/nonce geradas por arquivo. Três pontos importantes do relatório:
- O esquema de criptografia é parcial e otimizado para velocidade: cada arquivo criptografado tem o padrão 1 byte criptografado seguido de 2 bytes não criptografados (relação 1:2), acelerando o processo em grandes volumes de arquivos.
- Para cada arquivo, o malware gera uma chave ChaCha20 e um nonce únicos; esses dados são então cifrados com a chave pública ECIES do atacante e prefixados no arquivo.
- Arquivos criptografados recebem a extensão .Hunter; sem a chave privada do atacante, a recuperação dos dados é descrita como inviável pelos analistas.
Infraestrutura e operação de extorsão
O operador do ransomware apresenta canais organizados de negociação (e‑mails dedicados, canais em Telegram e infraestrutura anônima) que apontam para um modus operandi estruturado. Além disso, o grupo utiliza técnicas para tentar extinguir backups e encobrir rastros operacionais.
Implicações e recomendações
As equipes de segurança, especialmente em ambientes de saúde, devem priorizar medidas práticas que contenham a cadeia de ataque observada:
- Reforçar políticas de senha e aplicar proteção contra credential stuffing e brute force em contas de domínio.
- Monitorar e restringir alterações em GPOs; auditar uso de ferramentas administrativas como SharpGPOAbuse.
- Verificar integridade e versão de drivers de terceiros (o relatório cita a versão 2.18.371.0 do driver Zemana como abusada) e aplicar mitigação/atualização.
- Isolar e testar restauração de backups em ambientes offline; segregar funções críticas para reduzir blast radius.
Fonte: Trellix (relatado por Cyber Security News). Os detalhes técnicos e a listagem de componentes (ChaCha20, ECIES, .Hunter, driver Zemana 2.18.371.0) seguem o conteúdo do relatório referenciado pelo veículo.