Instagram

Este malware pode ‘cegar’ antivírus para roubar dados

Ataques de ransomware são realizados a partir do uso de um software malicioso (malware) que criptografa arquivos. Para devolver os dados das vítimas, os criminosos exigem o pagamento de uma quantia, normalmente em criptomoedas para dificultar o rastreio.

O número de casos do tipo tem aumentado nos últimos anos, especialmente no Brasil. Em meio a este cenário, um novo grupo criminoso, identificado como Crypto24, tem chamado a atenção dos especialistas em cibersegurança.

Grupo Crypto24 é o responsável pelos ataques (Imagem: Minerva Studio/Shutterstock)

Malware desativa produtos de fornecedores de segurança

De acordo com relatório da Trend Micro, os criminosos se destacam pela sofisticada capacidade de contornar soluções antivírus e sistemas de detecção de endpoint (EDR). O documento aponta que o Crypto24 combina ferramentas administrativas legítimas com malwares customizados para executar ataques de precisão durante horários de menor atividade das empresas.

O grupo tem como alvo principal grandes corporações e organizações de nível empresarial nos Estados Unidos, Europa e Ásia. E concentra seus esforços em setores de alto valor como serviços financeiros, manufatura, entretenimento e tecnologia.

Grupo é focado em ataques de ransomware (Imagem: Andrey_Popov/Shutterstock)

O principal ponto de atenção, segundo o relatório, é a capacidade dos criminosos de “cegar” soluções de segurança através de uma versão customizada da ferramenta de código aberto RealBlindingEDR. Ela foi especificamente modificada para desativar callbacks de kernel de produtos de quase 30 fornecedores de segurança reconhecidos no mercado, incluindo os populares Kaspersky, McAfee, Bitdefender e Trend Micro.

A ferramenta opera extraindo metadados dos drivers de segurança instalados no sistema e comparando-os com uma lista predefinida de empresas-alvo. Quando há uma correspondência, ela desabilita hooks/callbacks de nível de kernel para ‘cegar’ os mecanismos de detecção. Somente após completar a exfiltração dos dados, o payload de ransomware é executado, precedido pela exclusão das cópias de sombra de volume do Windows para impedir recuperação fácil dos arquivos.

Leia mais

Conheça o xHelper, malware resistente que infecta celulares

O que é malware? A ciência mostra que você já sabe a resposta

Número de ataques de ransomware dispara no Brasil

Malware é capaz de desativar antivírus (Imagem: Wright Studio/Shutterstock)

Como se proteger?

De acordo com a Trend Micro, soluções antivírus tradicionais não garantem a segurança necessária.

Os pesquisadores alertam que as organizações devem implementar o princípio de privilégio mínimo, auditando regularmente a criação e uso de contas privilegiadas, desabilitando contas administrativas padrão não-utilizadas e estabelecendo controles rigorosos sobre ferramentas de acesso remoto como RDP, PSExec e AnyDesk.

Além disso, soluções de EDR e outras ferramentas de segurança devem ser mantidas atualizadas e continuamente monitoradas para tentativas de desinstalação.

A implementação de um framework Zero Trust, operando no princípio de “nunca confiar, sempre verificar”, oferece proteção adicional contra técnicas avançadas usadas pelos criminosos.

O post Este malware pode ‘cegar’ antivírus para roubar dados apareceu primeiro em Olhar Digital.

Notícias Recentes

© Copyright 2025 Joy Radio | All Rights Reserved.