Apesar de a sua actividade ter sido registada pela primeira vez em Setembro de 2024, o grupo tem mantido um perfil discreto. No entanto, segundo uma investigação da Trend Micro, o Crypto24 já atacou várias grandes organizações nos Estados Unidos, Europa e Ásia, tendo como alvo sectores de alto valor como o financeiro, industrial, tecnológico e de entretenimento.
Os investigadores acreditam que o grupo é composto por membros experientes de outras operações de ransomware já extintas, devido ao seu elevado conhecimento técnico.
Tácticas de ataque e persistência
Após obterem o acesso inicial às redes empresariais, os atacantes do Crypto24 activam contas de administrador padrão do Windows ou criam novos utilizadores locais para garantir um acesso persistente e furtivo aos sistemas.
Numa fase de reconhecimento, utilizam ficheiros batch e comandos específicos para analisar as contas existentes, o hardware do sistema e a estrutura dos discos. De seguida, criam serviços maliciosos no Windows e tarefas agendadas para manter a sua presença. Entre estes serviços encontram-se o WinMainSvc, um keylogger que regista todas as teclas premidas, e o MSRuntime, responsável por carregar o malware de encriptação.
Como o Crypto24 consegue “cegar” o software de segurança
A táctica mais alarmante do Crypto24 é o uso de uma versão personalizada da ferramenta open-source RealBlindingEDR. Este utilitário foi concebido para desactivar os controladores de kernel de uma vasta lista de programas de segurança, incluindo soluções de empresas como Trend Micro, Kaspersky, Sophos, SentinelOne, Malwarebytes, McAfee e Bitdefender.
Ao analisar os metadados dos controladores, a ferramenta identifica o nome da empresa de segurança e, caso corresponda à sua lista de alvos, desactiva as funções de monitorização a baixo nível, “cegando” assim os motores de detecção. No caso específico dos produtos da Trend Micro, os atacantes chegam a utilizar o desinstalador legítimo da empresa, XBCUninstaller.exe, para remover a protecção Trend Vision One quando dispõem de privilégios de administrador.
Exfiltração de dados e o golpe final
Com as defesas desactivadas, o grupo utiliza um keylogger disfarçado de “Microsoft Help Manager” para registar não só as teclas premidas, mas também os títulos das janelas activas. Desta forma, consegue roubar credenciais e outras informações sensíveis.
Os dados roubados são posteriormente enviados para o Google Drive através de uma ferramenta personalizada. Antes de iniciarem o processo de encriptação dos ficheiros, os atacantes eliminam as cópias de segurança do Windows (Volume Shadow Copies) para impedir uma recuperação fácil dos dados, concluindo assim o seu ataque multifacetado.
