Grupo ransomware Crazy usa softwares legítimos de monitoramento para ataques
O grupo de ransomware conhecido como Crazy está adotando uma nova tática de infiltração: o abuso de softwares legítimos de monitoramento de funcionários e da plataforma de suporte remoto SimpleHelp. A técnica, documentada pela empresa de segurança Huntress, permite que os cibercriminosos mantenham persistência em redes corporativas, escapem da detecção e se preparem silenciosamente para lançar ataques de resgate.
O que mudou agora
Pesquisadores observaram múltiplos incidentes em que os atacantes utilizaram o aplicativo "Net Monitor for Employees Professional" para obter acesso inicial. Em pelo menos um caso, o software foi entregue através do instalador legítimo do Windows (msiexec.exe), mascarando sua instalação como uma atividade administrativa comum. Uma vez dentro do sistema, os invasores usam esse acesso para instalar a ferramenta de suporte remoto SimpleHelp, criando redundância e garantindo que manterão o controle mesmo se uma das ferramentas for descoberta e removida.
Vetor e exploração
O ataque começa com o comprometimento inicial, muitas vezes através de redes vulneráveis ou engenharia social. Os atacantes então instalam o software de monitoramento, que lhes concede acesso remoto completo ao computador da vítima. Utilizando comandos PowerShell e disfarçando processos com nomes semelhantes aos de arquivos legítimos do Visual Studio (como vshost.exe), eles elevam seus privilégios para administrador.
Com acesso de alto nível, os invasores realizam ações de reconhecimento, desabilitam o Windows Defender e outros mecanismos de segurança, e configuram regras de monitoramento dentro do SimpleHelp. Estas regras são projetadas para alertá-los quando a vítima acessa aplicações específicas, como carteiras de criptomoedas ou ferramentas de gerenciamento de sistemas, sinalizando o momento ideal para iniciar a criptografia dos arquivos e o ataque de ransomware.
Impacto e alcance
Esta técnica de "living-off-the-land" (usando ferramentas legítimas) é altamente eficaz porque mistura a atividade maliciosa com o ruído administrativo normal da rede, dificultando a detecção por soluções de segurança tradicionais. O uso duplo de ferramentas (Net Monitor e SimpleHelp) assegura persistência, tornando a resposta a incidentes mais complexa.
"Organizações devem monitorar de perto a instalação não autorizada de aplicativos de suporte remoto e ferramentas de monitoramento", alerta a Huntress. Ataques que abusam de software legítimo estão se tornando uma tendência preocupante entre grupos de ransomware, pois reduzem a necessidade de desenvolver e distribuir malware personalizado, que é mais facilmente flagrado.
Recomendações de defesa
Para se proteger contra esta e táticas similares, especialistas recomendam:
- Inventário e controle de software: Manter um inventário rigoroso de todos os softwares instalados em endpoints e servidores. Implementar políticas que restrinjam a instalação de aplicativos de acesso remoto e monitoramento apenas a administradores autorizados.
- Monitoramento comportamental: Implementar soluções de EDR (Endpoint Detection and Response) que possam detectar comportamentos anômalos, como a execução de comandos PowerShell para desabilitar o Defender ou a instalação súbita de ferramentas de suporte.
- Segmentação de rede e princípio do menor privilégio: Limitar o acesso lateral dentro da rede e garantir que usuários e serviços tenham apenas as permissões estritamente necessárias.
- Treinamento de conscientização: Educar funcionários sobre os riscos de engenharia social e a importância de reportar atividades suspeitas, como a instalação repentina de novos softwares.
- Resposta a incidentes: Ter um plano de resposta a incidentes que inclua a capacidade de identificar e remover ferramentas legítimas potencialmente abusadas por atacantes.
A adoção de uma postura de segurança proativa, focada na detecção de comportamentos maliciosos em vez de apenas assinaturas de malware, é crucial para combater essas ameaças modernas e evasivas.