Uma nova ameaça está surgindo no cenário do crime cibernético: uma aliança entre três grupos cibercriminosos já conhecidos por ataques de grande repercussão criados o BrilhanteSp1d3ruma plataforma de ransomware como serviço que representa uma mudança de paradigma para aqueles que antes dependiam de ferramentas de terceiros. Membros dos grupos ShinyHunters, Scattered Spider e Lapsus$ planejaram unir forças sob o nome coletivo “Scattered Lapsus$ Hunters “, criando um criptografador proprietário desenvolvido do zero.
Leia também
Microsoft revoga certificados usados por ransomware
Harvard investiga vazamento por ransomware Clop
A operação chamou a atenção inicialmente por meio de canais do Telegram, onde agentes maliciosos lançaram campanhas de extorsão contra vítimas de roubo de dados de plataformas como Salesforce e Jaguar Land Rover. Diferentemente do passado, quando utilizaram ferramentas de criptografia de outros grupos como ALPHV/BlackCat, Qilin, RansomHub e DragonForce, o coletivo agora desenvolveu uma ferramenta própria para gerenciar ataques de forma independente, em conjunto com seus afiliados. Uma amostra do malware foi descoberta inicialmente no VirusTotal, permitindo que pesquisadores de segurança analisassem suas características técnicas.
O novo criptografador para Windows do RaaS apresenta uma série de recursos sofisticados que o tornam particularmente insidioso: de acordo com análises realizadas pela empresa de recuperação de ransomware Coveware, citadas pelo BleepingComputer, o malware implementa técnicas de evasão que incluem o uso da função EtwEventWrite para impedir que os eventos sejam registrados no Visualizador de Eventos do Windows. O software também é capaz de garantir processos que mantêm os arquivos criptografados abertos, garantindo a máxima eficácia do ataque. Além disso, o ShinySp1d3r sobrescreve arquivos excluídos, gravando dados aleatórios em arquivos temporários, tornando praticamente impossível a recuperação das informações de restauração. O algoritmo de criptografia escolhido é o ChaCha20 , com a chave privada protegida por RSA-2048 , enquanto cada arquivo criptografado recebe uma extensão única baseada em uma fórmula matemática. Os arquivos modificados contêm um cabeçalho que começa com “SPDR” e termina com “ENDS”, incluindo metadados como o nome do arquivo original e a chave privada criptografada.
A capacidade de propagação do ransomware representa uma preocupação para redes corporativas, visto que o novo criptografador foi projetado para se espalhar para dispositivos conectados à rede local por meio de três métodos diferentes: criação de serviço via deployViaSCM, execução via WMI com Win32_Process.Create ou distribuição via scripts de inicialização de GPO. O malware está em busca de hosts com compartilhamentos de rede abertos para tentar criptografar sistemas adicionais. Os desenvolvedores também implementaram técnicas de anti-análise que sobrescrevem o conteúdo da memória para dificultar investigações forenses e impedir a recuperação de arquivos criptografados por meio de backups do Windows. As vítimas recebem uma nota de resgate com três dias para iniciar negociações antes que o ataque seja divulgado em um site de vazamento de dados na rede Tor. A comunicação ocorre por meio de um endereço TOX, enquanto um papel de parede substitui o plano de fundo do Windows para notificá-las sobre uma invasão.
