A União Sinistra: Nasce o Ransomware ShinySp1d3r
Em uma manobra que eleva o nível de organização no cenário do cibercrime, os grupos ShinyHunters e Scattered Spider anunciaram a criação de sua própria plataforma de Ransomware-as-a-Service (RaaS), denominada ShinySp1d3r. A informação, confirmada após a análise de uma versão em desenvolvimento do malware encontrada no VirusTotal, marca uma mudança de estratégia. Se antes esses grupos utilizavam criptografadores de operações como ALPHV/BlackCat e RansomHub, agora eles possuem uma ferramenta proprietária, desenvolvida do zero e com um arsenal de funcionalidades preocupantes.
Anatomia de um Predador Digital
Uma análise detalhada do código do ShinySp1d3r, compartilhada por especialistas da firma de recuperação de ransomware Coveware com o portal BleepingComputer, revela uma arquitetura lógica e focada na máxima eficiência destrutiva. O malware não se baseia em códigos vazados, como LockBit ou Babuk, mas é uma construção original do ShinyHunters. A sua operação pode ser dissecada em uma série de etapas condicionais, projetadas para garantir o sucesso da criptografia e dificultar a recuperação.
As principais funcionalidades observadas na versão para Windows incluem:
- Evasão de Logs: O malware utiliza um hook na função
EtwEventWritepara impedir que suas ações sejam registradas no Visualizador de Eventos do Windows. Se um evento for gerado, então ele é interceptado antes de ser gravado, tornando a análise forense um desafio consideravelmente maior. - Finalização de Processos: Para garantir que nenhum arquivo alvo esteja 'em uso' e, portanto, bloqueado, o ShinySp1d3r primeiro itera sobre todos os processos com um handle aberto para o arquivo e os encerra. A lógica é simples: sem processos bloqueando, a criptografia pode prosseguir sem impedimentos.
- Propagação em Rede: O criptografador tem a capacidade de se espalhar para outros dispositivos na rede local. Ele pode fazer isso criando um serviço via SCM, executando-se remotamente via WMI ou, de forma mais agressiva, criando um script de inicialização GPO no arquivo
scripts.ini. - Técnicas Anti-Recuperação: O malware não apenas deleta as Cópias de Sombra de Volume, um recurso padrão para evitar a restauração de arquivos, mas também preenche o espaço livre no disco com dados aleatórios. Isso sobrescreve arquivos deletados, tornando sua recuperação praticamente impossível.
- Mecanismos Anti-Análise: Para frustrar pesquisadores de segurança, o conteúdo de buffers de memória é sobrescrito, impedindo a análise forense do que o malware estava fazendo em um determinado momento.
A Lógica por Trás da Criptografia e do Resgate
O processo de criptografia em si utiliza o algoritmo ChaCha20, com a chave privada protegida por RSA-2048. Segundo o BleepingComputer, cada arquivo criptografado recebe uma extensão única, que o ShinyHunters alega ser baseada em uma 'fórmula matemática'. Além disso, cada arquivo modificado contém um cabeçalho que começa com SPDR e termina com ENDS, armazenando metadados sobre o arquivo original e a chave de criptografia.
Após a devastação digital, o grupo deixa seu cartão de visitas. Em cada pasta, uma nota de resgate é criada, explicando o ocorrido e fornecendo um endereço TOX para negociação. A nota, conforme citado pela fonte, começa de forma quase corporativa: "Esta comunicação foi emitida em nome do grupo ShinySp1d3r. Destina-se exclusivamente ao pessoal interno de resposta a incidentes...". As vítimas têm um prazo de três dias para iniciar as negociações antes que o ataque se torne público. Para completar o cenário, o papel de parede do Windows é alterado para um aviso sobre o ataque.
Regras de Negócio e Falsas Promessas
A operação RaaS será gerenciada pelo ShinyHunters, mas sob a marca 'Scattered LAPSUS$ Hunters', uma alusão à aliança entre os grupos. Em uma declaração ao BleepingComputer, o ShinyHunters afirmou que ataques contra qualquer empresa do setor de saúde, incluindo hospitais e farmacêuticas, são proibidos. Também afirmam que ataques contra a Rússia e outros países da CEI (Comunidade dos Estados Independentes) não são permitidos.
A lógica aqui é pragmática: se a maioria dos afiliados vem dessas regiões, então é prudente não atrair a atenção das autoridades locais. No entanto, a promessa de poupar o setor de saúde deve ser tratada com ceticismo. O histórico de outros grupos de ransomware demonstra que, quando um alvo financeiramente atraente aparece, essas 'políticas' são frequentemente violadas. A veracidade dessa afirmação só poderá ser confirmada ou refutada com o tempo.
Conclusão: Uma Ameaça Formalizada e em Expansão
O desenvolvimento do ShinySp1d3r não é apenas a criação de mais uma ferramenta de extorsão. É a formalização de uma aliança entre grupos cibercriminosos experientes e a consolidação de seu poder de ataque. Com versões para Linux e ESXi quase finalizadas e uma 'versão relâmpago' em assembly puro a caminho, a ameaça está se tornando multiplataforma e mais veloz. A emergência da plataforma ShinySp1d3r representa uma evolução calculada, transformando atores antes 'clientes' de outras plataformas em fornecedores de sua própria tecnologia de ataque, o que torna o ecossistema do cibercrime ainda mais perigoso e autossuficiente.
{{ comment.name }}
{{ comment.comment }}