SOC Prime Bias: Crítico

10 Dez 2025 19:28
newspaper icon Acronis

Ataques de Ransomware Makop em Empresas Indianas: Entrega GuLoader e Escalonamento de Privilegios

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Ataques de Ransomware Makop em Empresas Indianas: Entrega GuLoader e Escalonamento de Privilegios
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O ransomware Makop, uma variante da família Phobos, está atacando organizações ao abusar de serviços RDP (Remote Desktop Protocol) expostos e usando utilitários prontos para descoberta, movimento lateral e escalonamento de privilégios. A campanha incorpora novos elementos, incluindo o downloader GuLoader e várias explorações de escalonamento de privilégios locais. Os adversários implantam o binário de ransomware em diretórios de usuários sob nomes de arquivos enganosos. A ameaça tem como alvo principal empresas indianas, com atividade também observada no Brasil e na Alemanha.

Investigação

A Unidade de Pesquisa de Ameaças da Acronis examinou casos recentes de Makop e mapeou uma cadeia de ataque repetível que começa com tentativas de força bruta no RDP, depois prossegue para varredura de rede, extração de credenciais e a execução de várias explorações de elevação de privilégio baseadas em CVE. Foi observado que o GuLoader entregou cargas subsequentes como AgentTesla e FormBook. Os investigadores também documentaram as ferramentas de eliminação de antivírus, drivers vulneráveis e desinstaladores personalizados usados para neutralizar soluções de segurança.

Mitigação

As defesas recomendadas incluem a aplicação de autenticação multifator no RDP, eliminação de quaisquer endpoints RDP expostos à internet, aplicação de patches para todos os CVEs referenciados, monitoramento dos binários conhecidos de loader e utilitários de eliminação de antivírus, e uso de detecção de endpoint para bloquear a execução de scripts suspeitos. Manter as assinaturas do Windows Defender atualizadas e restringir o uso de drivers não assinados ou não confiáveis reduz ainda mais a exposição às técnicas observadas.

Resposta

Uma vez detectada a atividade, isole imediatamente o host impactado, termine os processos do GuLoader ou de downloaders suspeitos e capture a memória volátil para análise. Realize uma revisão abrangente de possível extração de credenciais, bloqueie hashes e nomes de arquivos maliciosos conhecidos, e remedeie os CVEs explorados. Quando viável, restaure dados criptografados a partir de backups verificados e alerte as equipes apropriadas de resposta a incidentes e gerenciamento.

mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[“<b>Ação</b> – <b>T1021.001 Serviços Remotos: RDP</b><br /><b>Descrição</b>: Login RDP forçado usando NLBrute”] class initial_access_rdp action defense_evasion_impair[“<b>Ação</b> – <b>T1562 Prejuízo às Defesas</b><br /><b>Descrição</b>: Desativar o Windows Defender via disable‑defender.exe e explorar drivers vulneráveis”] class defense_evasion_impair action priv_esc_exploit[“<b>Ação</b> – <b>T1068 Exploração para Elevação de Privilégio</b><br /><b>Descrição</b>: Aproveitar CVE‑2017‑0213, CVE‑2018‑8639, CVE‑2021‑41379, CVE‑2016‑0099”] class priv_esc_exploit action discovery_remote[“<b>Ação</b> – <b>T1018 Descoberta de Sistema Remoto</b><br /><b>Descrição</b>: Escanear rede interna com NetScan, Advanced IP Scanner, Masscan”] class discovery_remote action lateral_movement_rdp[“<b>Ação</b> – <b>T1021 Serviços Remotos</b><br /><b>Descrição</b>: Usar credenciais roubadas para movimento lateral RDP e SMB”] class lateral_movement_rdp action credential_dumping[“<b>Ação</b> – <b>T1003 Despejo de Credenciais do SO</b><br /><b>Descrição</b>: Extração de credenciais via Mimikatz, LaZagne, NetPass”] class credential_dumping action execution_vbs[“<b>Ação</b> – <b>T1059.005 Visual Basic</b><br /><b>Descrição</b>: Executar script VBS descartado pelo GuLoader”] class execution_vbs action impact_encrypt[“<b>Ação</b> – <b>T1486 Dados Criptografados para Impacto</b><br /><b>Descrição</b>: Criptografar arquivos com o encriptador de ransomware Makop”] class impact_encrypt action %% Connections showing attack flow initial_access_rdp u002du002d>|leads_to| defense_evasion_impair defense_evasion_impair u002du002d>|leads_to| priv_esc_exploit priv_esc_exploit u002du002d>|leads_to| discovery_remote discovery_remote u002du002d>|leads_to| lateral_movement_rdp lateral_movement_rdp u002du002d>|leads_to| credential_dumping credential_dumping u002du002d>|leads_to| execution_vbs execution_vbs u002du002d>|leads_to| impact_encrypt

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Cheque Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Comandos & Narrativa do Ataque:

    1. Preparação: O atacante obtém uma versão maliciosa de ThrottleStop.sys que é instrumentada para explorar o CVE‑2025‑7771 para elevação de privilégio.
    2. Implantação: O driver é copiado para o diretório de drivers do sistema (C:WindowsSystem32drivers).
    3. Execução: Usando sc.exe, o atacante cria e inicia um serviço que carrega o driver malicioso, elevando assim o processo ao nível de SISTEMA.
    4. Pós-elevação: Com o token elevado, o atacante pode personificar contas de alto privilégio (T1134.005), mas esse passo está fora do escopo desta regra.

  • Script de Teste de Regressão:

    # ----------------------------------------------------------------
# Simulação de exploração do ThrottleStop.sys (CVE-2025-7771)
# ----------------------------------------------------------------
$driverPath = "$env:SystemRootSystem32driversThrottleStop.sys"

# 1. Soltar o driver malicioso (aqui usamos uma cópia de espaço reservado)
Write-Host "[*] Copiando ThrottleStop.sys malicioso para $driverPath"
# Em um teste real, substitua a origem pelo binário malicioso real
Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force

# 2. Registrar o driver como um serviço de kernel
Write-Host "[*] Criando serviço para o driver"
sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null

# 3. Iniciar o driver (aciona o Sysmon ImageLoad)
Write-Host "[*] Iniciando o serviço do driver"
sc.exe start ThrottleStopSvc | Out-Null

Write-Host "[+] Driver carregado – deve acionar a regra de detecção."
# ----------------------------------------------------------------

  • Comandos de Limpeza:

    # Parar e deletar o serviço de driver malicioso
sc.exe stop ThrottleStopSvc | Out-Null
sc.exe delete ThrottleStopSvc | Out-Null

# Remover o arquivo do driver
Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force

Write-Host "[*] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente