Há um novo tipo de ransomware que conseguindo “cegar” antivírus, abrindo espaço para roubar dados e realizar outras ações maliciosas sem ser detectado.
O que está acontecendo?
Diversas ameaças recentes
mostram como os criminosos estão contornando e neutralizando defesas
tradicionais — aqui estão os destaques:
1. Crypto24 + RealBlindingEDR
- O grupo de ransomware Crypto24,
ativo desde setembro de 2024, usa uma variante personalizada da ferramenta
open-source RealBlindingEDR.
- Essa ferramenta desativa mecanismos de
antivírus e EDR (Endpoint Detection and Response) em nível de kernel,
buscando nomes de antivírus na metadata dos drivers e cortando ganchos
(hooks) essenciais para a detecção. Também pode desinstalar silenciosamente
o antivírus.
- Depois, instala um keylogger e um
software de criptografia, e exfiltra os dados via Google Drive.
2. Nova ferramenta de
desativação de antivírus (Sophos)
- Um novo “killer tool”, descrito pela
Sophos como evoluído/protótipo pós-EDRKillShifter, consegue desabilitar
antivírus diversos, como Sophos, Bitdefender e Kaspersky.
- Usa técnicas avançadas de ofuscação (ex.:
HeartCrypt) e até código malicioso injetado em ferramentas legítimas
assinadas, o que dificulta ainda mais a detecção.
3. Ransomware “Mamona” (Wazuh)
- Um tipo de ransomware minimalista chamado Mamona
opera localmente, sem conexão com servidores de comando.
- Executa uma pequena pausa com ping
modificado, se autoexclui e deixa poucos rastros forenses — tudo isso
torna sua detecção pela maioria dos antivírus mais difícil.
Resumo comparativo
|
Ameaça |
Como zera a defesa |
Objetivo principal |
|
Crypto24 |
Desativa EDR/antivírus via
kernel / desinstala |
Roubo de dados +
criptografia |
|
Novo tool (Sophos) |
Desativa segurança via
ofuscação / drivers |
Prepara terreno para
payloads maliciosos |
|
Mamona |
Operação offline e
autodeleção |
Criptografar antes que
antivírus reaja |
Conclusão
Sim, esse tipo de
ransomware “cega” antivírus, seja desativando-os diretamente ou operando de
forma a evitar sua ação. Essa evolução mostra que anticorpos digitais
devem ir além do antivírus tradicional.
Como se proteger?
- Camadas de defesa múltiplas:
combinação de antivírus com tamper protection, firewall ativo e soluções
anti-malware complementares.
- Ativar proteção contra manipulação
(“tamper protection”) e manter privilégios de acesso bem configurados.
- Monitoramento comportamental avançado:
detectar atividades suspeitas como criação de notas de resgate, delays
incomuns, ou renomeação em lote de arquivos. Ferramentas como Sysmon,
YARA, FIM podem ajudar — especialmente contra ameaças como o Mamona.
- Backups regulares e segmentação de redes:
isso mantém os dados seguros mesmo que o antivírus falhe.
![](https://www.pinterest.com/pin/create/button/?url=https://www.formatarpc.site/2025/08/novo-ransonware-consegue-cegar.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1mM0X3sLdus1957HJa5RvkLmJfFa0EUmUlhNEs4w9O_eCeWN5pUegLMSt6GUolBI7Dv-kApoWKtMc_xrJUR8u05MHik1pAdrlOTcYgTC_7fSwsHR7ZXMH9GxEFL9JYjz5ChzF1koYt-Xu1mjciDKAp-xsZBMkKeh3iBuCn1vpAWN9eAQBluFwgjq59954/w640-h408/antivirus.jpg&description=Novo ransomware consegue "cegar" antivírus para roubar dados){kind=link}
0 Comentários