Uma nova ameaça está surgindo no cenário do cibercrime: uma aliança entre três grupos cibercriminosos já conhecidos por ataques de grande repercussão criou o ShinySp1d3r, uma plataforma de ransomware as a service que representa uma mudança de paradigma para aqueles que antes dependiam de ferramentas de terceiros. Membros dos grupos ShinyHunters, Scattered Spider e Lapsus$ decidiram unir forças sob o nome coletivo “Scattered Lapsus$ Hunters “, criando um criptografador proprietário desenvolvido inteiramente do zero.
A operação chamou a atenção inicialmente por meio de canais do Telegram, onde agentes maliciosos lançaram campanhas de extorsão contra vítimas de roubo de dados de plataformas como Salesforce e Jaguar Land Rover. Diferentemente do passado, quando utilizavam ferramentas de criptografia de outros grupos como ALPHV/BlackCat, Qilin, RansomHub e DragonForce, o coletivo agora desenvolveu uma ferramenta própria para gerenciar ataques de forma independente, em conjunto com seus afiliados . A amostra do malware foi descoberta inicialmente no VirusTotal , permitindo que pesquisadores de segurança analisassem suas características técnicas.
O novo criptografador para Windows do RaaS apresenta uma série de recursos sofisticados que o tornam particularmente insidioso : de acordo com análises conduzidas pela empresa de recuperação de ransomware Coveware, citadas pelo BleepingComputer , o malware implementa técnicas de evasão que incluem o uso da função EtwEventWrite para impedir que os eventos sejam registrados no Visualizador de Eventos do Windows. O software também é capaz de encerrar processos que mantêm os arquivos a serem criptografados abertos, garantindo a máxima eficácia do ataque. Além disso, o ShinySp1d3r sobrescreve arquivos excluídos, gravando dados aleatórios em arquivos temporários, tornando praticamente impossível a recuperação das informações excluídas. O algoritmo de criptografia escolhido é o ChaCha20 , com a chave privada protegida por RSA-2048 , enquanto cada arquivo criptografado recebe uma extensão única baseada em uma fórmula matemática. Os arquivos modificados contêm um cabeçalho que começa com “SPDR” e termina com “ENDS”, incluindo metadados como o nome do arquivo original e a chave privada criptografada.
A capacidade de propagação do ransomware representa uma preocupação para redes corporativas, visto que o novo criptografador foi projetado para se espalhar para dispositivos conectados à rede local por meio de três métodos diferentes: criação de serviço via deployViaSCM, execução via WMI com Win32_Process.Create ou distribuição via scripts de inicialização de GPO. O malware busca ativamente por hosts com compartilhamentos de rede abertos para tentar criptografar sistemas adicionais. Os desenvolvedores também implementaram técnicas anti-análise que sobrescrevem o conteúdo da memória para dificultar investigações forenses e impedir a recuperação de arquivos criptografados por meio de backups do Windows. As vítimas recebem uma nota de resgate com três dias para iniciar negociações antes que o ataque seja divulgado em um site de vazamento de dados na rede Tor. A comunicação ocorre por meio de um endereço TOX, enquanto um papel de parede substitui o plano de fundo do Windows para notificá-las sobre a invasão.
FONTE: CISO ADVISOR
