Hack Alerta

Shanya: packer/EDR killer alimenta campanhas de ransomware

Por Redação Hack Alerta Publicado em 08/12/2025 07:04 Riscos e Ameaças Tempo de leitura: 2 min

Shanya, um packer-as-a-service identificado pela Sophos, usa BYOVD e técnicas de DLL side-loading para ganhar privilégios kernel e neutralizar EDRs, facilitando ataques de ransomwares como Akira e Medusa.

Shanya: packer/EDR killer alimenta campanhas de ransomware

Pesquisadores da Sophos detalharam a ascensão de “Shanya”, um packer-as-a-service que atua como um EDR killer e vem sendo usado para viabilizar ransomwares de alto impacto.

Descoberta e escopo / O que mudou agora

Identificado em fóruns subterrâneos em 2024 como “VX Crypt”, o Shanya atua como ponte entre acesso inicial e entrega do payload criptográfico. A adoção em campanhas reais foi ligada a famílias de ransomware como Akira, Medusa e Qilin.

Vetor e exploração / Mitigações

Técnicas observadas:

  • DLL side-loading e “double loading” de bibliotecas legítimas (ex.: segundo carregamento de shell32.dll com header sobrescrito).
  • Tática BYOVD (Bring Your Own Vulnerable Driver), com drops e exploração de drivers legítimos vulneráveis (ex.: ThrottleStop.sys) para elevação a kernel.
  • Uso de um driver kernel (relatado como hlpdrv.sys) para instruir terminação forçada de serviços de segurança via DeviceIoControl.

Mitigações práticas incluem restrições rígidas a instalação de drivers, assinatura de drivers e aplicação de políticas de controlos de integridade no kernel, além de detecção de padrões de DeviceIoControl incomuns e bloqueio de drivers não confiáveis.

Impacto e alcance / Setores afetados

Shanya reduz a eficácia de soluções EDR tradicionais ao obter privilégios kernel e matar processos de proteção antes da execução do ransomware, ampliando sucesso de ataques direcionados — cenário crítico para setores com infraestrutura sensível e dados regulados.

Limites das informações / O que falta saber

Pesquisas técnicas demonstram o modus operandi, mas não há lista pública completa de IOCs universalmente aplicáveis. Organizações devem correlacionar sinais locais (instalação de drivers suspeitos, falhas de debugger, chamadas incomuns a RtlDeleteFunctionTable) com inteligência externa.

Repercussão / Próximos passos

Equipes de segurança devem priorizar controles de instalação de drivers, reforçar proteção de kernel, aplicar aplicação control e monitorar assinaturas de comportamentos descritos. A colaboração com fornecedores de EDR para atualizações e com equipes de resposta a incidentes é recomendada.

Baseado em publicação original de Cyber Security News
Tags: #shanya #edr #packer #byovd #ransomware #kernel #throttlestop #dll-sideload #obfuscacao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar