Ransomware Crypto24 Burlas Defesas EDR em Ataques Globais

Uma nova e sofisticada operação de ransomware chamada Crypto24 surgiu como uma ameaça global significativa, visando especificamente redes corporativas com ferramentas projetadas para burlar soluções modernas de segurança em endpoints. Pesquisadores de cibersegurança observaram que o grupo emprega técnicas avançadas para evadir sistemas de Endpoint Detection and Response (EDR), tornando particularmente difícil sua detecção para equipes de segurança.

A operação Crypto24 se destaca pelo uso de técnicas Bring Your Own Vulnerable Driver (BYOVD) - uma tendência crescente entre agentes de ameaças avançados. Essa abordagem envolve explorar drivers vulneráveis mas legítimos para obter acesso em nível de kernel, permitindo que os invasores desativem ou contornem produtos de segurança antes de implantar cargas úteis de ransomware.

Análises técnicas revelam que os operadores do Crypto24 primeiro obtêm acesso inicial por meio de credenciais RDP comprometidas ou campanhas de phishing. Uma vez dentro da rede, eles realizam um reconhecimento extenso para identificar alvos de alto valor antes de se mover lateralmente. A carga útil do ransomware é tipicamente implantada após os invasores desativarem as soluções de segurança usando seu acesso em nível de kernel.

Impacto Setorial:
O ransomware demonstrou interesse especial em corporações multinacionais de três setores-chave:

Recomendações Defensivas:
As equipes de segurança devem considerar implementar as seguintes medidas:

O surgimento do Crypto24 destaca a sofisticação evolutiva das operações de ransomware e enfatiza a necessidade de estratégias de defesa em profundidade que vão além das soluções tradicionais de EDR.