Makop amplia tática: RDP, BYOVD e drivers assinados para evitar AV
Analistas da Acronis descrevem uma evolução do ransomware Makop: operadoras combinam ataques por RDP com explorações locais e uso de drivers legítimos vulneráveis para contornar EDR/AV e ampliar impacto.
Descoberta e escopo / O que mudou agora
Relatório técnico da Acronis mostra que o grupo por trás do Makop — variante da família Phobos observada desde 2020 — vem refinando a cadeia de ataque. Em incidentes recentes, 55% das detecções citadas pela análise ocorreram contra empresas na Índia; o texto também indica que Brasil e Alemanha relataram compromissos. As operações combinam força bruta em RDP, entregadores como GuLoader e técnicas de escalonamento para alcançar privilégios de sistema.
Vetor e exploração / Mitigações
O fluxo de ataque documentado segue um padrão previsível, mas eficaz: escaneamento e brute-force contra serviços RDP expostos (ferramentas como NLBrute foram citadas como parte do arsenal), implantação de scanners de rede e utilitários de descoberta, e execução de exploits locais para elevação de privilégios. Quando presente, o atacante prepara o ambiente para desativar defesas — removendo ou interrompendo AV/EDR — e só então implanta o ransomware.
Um ponto crítico destacado é o uso de Bring Your Own Vulnerable Driver (BYOVD). Drivers legítimos assinados, como ThrottleStop.sys (TechPowerUp), contêm a vulnerabilidade rastreada como CVE-2025-7771; exploradores usam esse vetor para manipular acesso à memória e desativar inspeções de segurança em nível kernel. Ferramentas de remoção de AV direcionadas e uninstallers específicos (ex.: Quick Heal) também são empregadas para neutralizar defesas regionais.
Mitigações imediatas: fechar acessos RDP não necessários, bloquear IPs suspeitos, aplicar política de bloqueio de contas para tentativas de brute-force, monitorar criação de tarefas agendadas e execuções por binários de living-off-the-land (pcalua.exe, rundll32.exe). Onde aplicável, atualizar drivers legítimos e aplicar controles para bloquear drivers não confiáveis em ambientes que exijam proteção de integridade.
Impacto e alcance / Setores afetados
A cronologia e o conjunto de exploits mostram que operadores do Makop priorizam alvos com gestão remota frágil e credenciais reutilizadas — setores com presença de RDP aberto, servidores legados e backups mal configurados. A lista de vulnerabilidades exploradas inclui tanto CVEs antigos com exploits estáveis (CVE-2016-0099, CVE-2017-0213, CVE-2018-8639, CVE-2021-41379) quanto vetores mais recentes e críticos (CVE-2020-0796, e o CVE-2025-7771 no driver ThrottleStop).
O impacto operacional é elevado quando operadores alcançam privilégios de kernel: além da encriptação, há remoção de shadow copies, desativação de serviços de backup e exfiltração prévia de dados usando canais como WebDAV. A Acronis reporta também o emprego de nomes de executáveis que tentam se passar por processos legítimos (ex.: taskmgr.exe), e o espalhamento de cargas em shares de rede para reduzir detecção.
Limites das informações / O que falta saber
O relatório identifica técnicas, indicadores e CVEs alinhados ao toolkit do Makop, mas não apresenta métricas públicas sobre número total de vítimas globais na amostra nem indicadores de compromisso (IoCs) detalhados para cada campanha no resumo. A Acronis documenta mudanças táticas e amostras, porém as evidências públicas de pagamentos ou de uma cadeia de comando mais ampla permanecem limitadas.
Repercussão / Próximos passos
Organizações devem priorizar correções de vulnerabilidades conhecidas, reduzir a superfície de ataque de RDP (VPNs, jump hosts, MFA), e aplicar monitoramento de comportamento para identificar uso de drivers assinados de forma anômala. Considerar políticas de bloqueio para BYOVD, hardening de controladores de integridade e revisão de processos de atualização de drivers são medidas recomendadas.
Fonte: Cyber Security News (relatório Acronis)