Detecção do Ransomware Crypto24: Hackers atacam grandes organizações com ferramentas legítimas e malware personalizado para evitar a detecção
Índice:
Ransomware continua entre as ameaças cibernéticas mais críticas. De acordo com o Relatório de Investigações de Violação de Dados da Verizon 2025 (DBIR), ele foi observado em 44% das violações — um aumento em relação aos 32% do relatório anterior. Um ator relativamente novo, o grupo Crypto24 Ransomware, vem atacando grandes organizações nos Estados Unidos, Europa e Ásia, utilizando ferramentas personalizadas para contornar defesas de segurança, roubar dados e criptografar arquivos em redes comprometidas.
Detectar Ataques do Crypto24 Ransomware
A Cybersecurity Ventures alerta que até 2031 poderá ocorrer um ataque de ransomware a cada dois segundos, tornando a detecção proativa de ameaças mais essencial do que nunca. As operações de ransomware continuam a evoluir, tornando-se mais sofisticadas e mirando organizações de todos os tamanhos, desde grandes empresas até pequenos negócios.
Registre-se na Plataforma SOC Prime para detectar ameaças potenciais, como o ransomware Crypto24, na fase mais precoce possível. A plataforma fornece inteligência de ameaças em tempo real e conteúdo de detecção acionável, apoiada por uma suíte completa de produtos para engenharia de detecção com IA, hunting automatizado de ameaças e detecção avançada. Clique no botão Explorar Detecções abaixo para acessar um conjunto de regras especificamente projetadas para identificar e responder à atividade do Crypto24 ransomware.
Todas as regras são compatíveis com diversas soluções SIEM, EDR e Data Lake, e mapeadas para o framework MITRE ATT&CK®. Além disso, cada regra inclui metadados detalhados, como referências de inteligência de ameaças, cronologias de ataque, recomendações de triagem e muito mais.
Opcionalmente, os defensores podem aplicar a tag mais ampla “Ransomware” para acessar um conjunto maior de regras de detecção que cobrem ataques de ransomware em escala global.
Além disso, especialistas em segurança podem agilizar a investigação de ameaças utilizando o Uncoder AI, um IDE privado e copiloto para engenharia de detecção baseada em inteligência de ameaças. Gere algoritmos de detecção a partir de relatórios brutos, realize varreduras rápidas de IOCs, preveja tags ATT&CK, otimize código de consultas com dicas de IA e traduza regras em múltiplas linguagens de SIEM, EDR e Data Lake. Por exemplo, os defensores podem visualizar instantaneamente o Attack Flow com base na pesquisa da Trend Micro sobre a atividade do ransomware Crypto24.
Análise do Grupo Crypto24 Ransomware
O grupo de ransomware Crypto24 surgiu no cenário de ameaças cibernéticas no início do outono de 2024. Os adversários têm mirado organizações na Ásia, Europa e Estados Unidos, principalmente nos setores financeiro, de manufatura, entretenimento e tecnologia.
As operações do grupo incluem a criação de contas privilegiadas e tarefas agendadas para manter a persistência, misturando atividades maliciosas com operações rotineiras do sistema. O grupo emprega utilitários personalizados para contornar EDR e manipula soluções de segurança para evitar a detecção. O roubo de dados e a vigilância são realizados por meio de keyloggers, exfiltração para o Google Drive e acesso remoto persistente.
A Trend Micro relata que o Crypto24 executa campanhas altamente coordenadas, frequentemente programadas para horários de menor atividade, a fim de reduzir a visibilidade e maximizar o impacto. A atividade recente mostra um foco em grandes empresas e entidades corporativas de alto perfil, com a escala e a sofisticação dos ataques indicando um direcionamento deliberado a organizações com ativos financeiros e operacionais significativos.
O Crypto24 utiliza um toolkit altamente sofisticado que combina ferramentas legítimas com malware personalizado e aplica técnicas avançadas de evasão de detecção. Suas operações aproveitam o PSExec para movimento lateral, AnyDesk para acesso persistente, keyloggers para roubo de credenciais, backdoors e Google Drive para exfiltração de dados.
Após obter o acesso inicial, a cadeia de ataque do Crypto24 envolve reativar contas padrão, criar novos usuários privilegiados e usar utilitários do Windows (como net.exe, sc.exe ou runas.exe) para manter a persistência, habilitar RDP e implantar payloads. O reconhecimento é realizado por meio de arquivos batch e comandos WMIC para coletar informações de sistema, hardware e contas, a fim de planejar movimentos laterais.
A persistência é reforçada por meio de tarefas agendadas, serviços maliciosos e DLLs modificadas (por exemplo, termsrv.dll para permitir múltiplas sessões RDP). Os atacantes implantam keyloggers (WinMainSvc.dll) para roubo de credenciais, usam Google Drive para exfiltração e instalam TightVNC para controle remoto.
Para evasão de defesas, o Crypto24 utiliza variantes personalizadas do RealBlindingEDR e abusa do gpscript.exe para executar o desinstalador legítimo do Trend Vision One, desativando proteções antes de acionar o payload de ransomware. Embora o desinstalador em si não seja uma vulnerabilidade, os atacantes o exploram após o comprometimento, com privilégios elevados, aplicando assim a tática de “living off the land”.
A campanha do Crypto24 ressalta a sofisticação operacional crescente e a adaptabilidade dos atores de ameaças modernos. Ao combinar estrategicamente ferramentas legítimas de TI com LOLBins, malware personalizado e técnicas avançadas de evasão, os operadores conseguem obter acesso inicial, executar movimento lateral e estabelecer persistência nos ambientes visados. Como medidas de mitigação contra o Crypto24, as organizações devem fortalecer controles de conta e acesso, restringir RDP e ferramentas remotas apenas a sistemas autorizados com MFA, e monitorar de perto o uso anômalo de utilitários do Windows, novos serviços ou tarefas agendadas. Igualmente crítico é aplicar princípios de Zero Trust, auditar backups, monitorar exfiltração de dados e treinar usuários em riscos de phishing e credenciais como parte de uma estratégia robusta de resposta a incidentes. Ao aproveitar a suíte completa de produtos da SOC Prime, apoiada por IA, automação, inteligência de ameaças em tempo real e princípios de Zero Trust, organizações globais podem superar ataques de ransomware e quaisquer ameaças cada vez mais sofisticadas e adaptáveis.
