Makop, variante da família Phobos, continua a explorar RDP exposta e fraquezas do Windows combinando força bruta, LPEs antigos e BYOVD com drivers vulneráveis para desativar antivírus e implantar ransomware em larga escala.
Como o ataque começa e se espalha
A Acronis observou que 55% dos incidentes recentes atingiram empresas na Índia, com casos também no Brasil, Alemanha e outros países, sempre com foco em RDP expostos com credenciais fracassadas ou reutilizadas. A cadeia típica começa com força bruta usando ferramentas como NLBrute contra portas 3389 abertas; Uma vez obtido acesso, os operadores carregam scanners de rede, ferramentas de movimento lateral, exploits de privilégio e “AV killers”.
Os artefatos são distribuídos por ações RDP montados, pastas de música e desktops, com nomes enganosos como taskmgr.exe, bug_hand.exe e mc_osn.exepara se camuflar entre processos e arquivos legítimos. Se a solução de segurança reaja mais cedo, os aventureiros tentam técnicas de evasão avançadas; caso falhem em contornar as defesas, frequentemente abandonam o alvo para reduzir ruído e risco.
Ferramentas, LPEs e BYOVD
Makop carrega um “arsenal” de exploits de elevação de privilégio para Windows, mantendo múltiplas opções para contornar patches parciais. A lista inclui CVEs antigos, porém ainda eficazes em ambientes desatualizados, como CVE‑2016‑0099, CVE‑2017‑0213, CVE‑2018‑8639, CVE‑2019‑1388, CVE‑2020‑0787, CVE‑2020‑0796 (SMBGhost), CVE‑2020‑1066, CVE‑2021‑41379 e CVE‑2022‑24521, todos focados em LPE via kernel, Win32k, BITS, Installer e serviços de sistema.
O grupo também usa o GuLoader para entregar payloads secundários, reforçando a cadeia com um carregador conhecido pela capacidade de contornar detecções e baixar diferentes tipos de malware. Para desativar EDR/AV, empregam técnicas BYOVD com drivers legítimos mas vulneráveis, como ThrottleStop.sys (CVE‑2025‑7771) e hlpdrv.sysque dá leitura/escrita arbitrária de memória em ring‑0, permitindo matar processos de segurança por meio de sequestro de funções de kernel. Em alvos indianos, foram vistos desinstaladores específicos contra o Quick Heal Antivirus, sinalizando adaptação regional.
Recomendações de defesa
- Fechar e suportar RDP: desabilitar RDP público sempre que possível, exigir VPN e MFA, aplicar políticas de bloqueio e monitorar testes de login anômalas.
- Gerenciar vulnerabilidades: aplicar patches de Windows para LPEs e SMBGhost, e bloquear drivers vulneráveis (como versões afetadas de ThrottleStop/
hlpdrv.sys) via políticas de controle de drivers e HVCI/WDAC. - Fortaleza EDR/AV: usar soluções capazes de detectar BYOVD, scanners em massa, GuLoader e comportamentos típicos de ransomware (criptação em massa, modificação de backups).
- Monitorar movimento lateral: alertar para uso inesperado de ferramentas como NetScan, Advanced IP Scanner, Masscan e criação de ocorrências suspeitas em compartilhamentos e áreas do usuário.
Makop ilustra como os operadores de ransomware causam grande impacto combinando RDP mal protegido, CVEs antigos ainda exploráveis e drivers legítimos inseguros, reforçando a necessidade de higiene básica, patches disciplinados e controles específicos contra BYOVD.
