Operação RaaS observada no fim de 2025 usa coleta de credenciais, exfiltração via file.io, criptografia com extensão .sicarii e componente destrutivo para dificultar recuperação.
| Componente | Ransomware Sicarii, anunciado como operação RaaS e associado a amostras Windows com coleta de dados, reconhecimento, exfiltração, criptografia e sabotagem de inicialização. |
| Vetor | O caminho inicial de acesso não está confirmado; as comunicações associadas ao operador indicam provável compra de acessos a organizações-alvo, em vez de exploração direta como etapa inicial. |
| Impacto | Roubo de arquivos e credenciais, tentativa de despejo do LSASS, exfiltração de collected_data.zip para file.io, criptografia de diretórios de usuário com extensão .sicarii e execução posterior de destruct.bat para corromper recuperação. |
| Prioridade | Tratar detecções de Sicarii como incidente de ransomware com possível extorsão dupla: isolar endpoints, preservar evidências, bloquear exfiltração, caçar artefatos de persistência e revisar exposição de RDP e Fortinet. |
| Versões | Não há versão pública consolidada do malware; amostras foram observadas com nomes de estágio como Project3.exe e um arquivo de código-fonte chamado ransomawre.cs antecedendo a aparição pública. |
| Artefatos | svchost_{random}.exe, collected_data.zip, destruct.bat, .sicarii, google.com/generate_204, BCryptEncrypt, file.io, Project3.exe, ransomawre.cs e referência a infraestrutura Tor usada pelo ransomware. |
| IoCs | Não foram fornecidos hashes, domínios Tor completos, endereços IP ou chaves de criptografia; os sinais operacionais disponíveis são comportamentais e baseados em nomes de arquivos, APIs, serviços e sequência de execução. |
| Mitigação | Bloquear upload não autorizado para serviços de compartilhamento, monitorar despejo de credenciais, impedir alteração de SafeBoot e inicialização, aplicar correções em Fortinet quando aplicável e validar backups offline antes de restauração. |
Sicarii é uma operação de ransomware observada no fim de 2025 e apresentada como Ransomware-as-a-Service. A atividade combina uma capacidade técnica funcional de extorsão com uma camada de identidade pública incomum para ecossistemas criminosos voltados a lucro. O operador afirma alinhamento israelense ou judaico, usa texto em hebraico, símbolos históricos e referências ideológicas, mas a consistência linguística, a maturidade operacional e os artefatos de desenvolvimento não sustentam uma atribuição direta. A leitura operacional mais prudente é tratar a identidade declarada como sinal não confiável e concentrar a resposta nos comportamentos confirmados do binário, da infraestrutura e do fluxo de extorsão.
O malware realiza uma sequência típica de ransomware moderno: tenta evitar análise em ambiente virtualizado, garante execução única com mutex, copia a si mesmo para o diretório temporário com nome aleatório no padrão svchost_{random}.exe, valida conectividade usando google.com/generate_204, coleta dados sensíveis, executa reconhecimento de rede, tenta encerrar produtos de segurança e VPN, exfiltra um arquivo collected_data.zip para file.io e só então inicia a criptografia. O impacto não se limita à indisponibilidade dos arquivos, porque a cadeia inclui roubo de credenciais, coleta de dados de aplicações de comunicação e carteiras, tentativa de acesso a material do sistema e um componente destrutivo destinado a prejudicar a inicialização e a recuperação do host.
A operação divulgou apenas uma vítima pública, uma fabricante baseada na Grécia, e apresentou narrativas inconsistentes sobre sucesso operacional. O primeiro caso listado foi posteriormente descrito como teste, apesar de alegações anteriores de múltiplos incidentes. Esse padrão, somado à concentração de amostras enviadas ao VirusTotal por uma única conta comunitária, ao uso recorrente de Project3.exe e à presença do arquivo ransomawre.cs antes da exposição pública do grupo, sugere desenvolvimento centralizado, testes iterativos e baixa compartimentação. Mesmo assim, a capacidade de coleta, exfiltração e criptografia torna a ameaça operacionalmente relevante para defesa, resposta a incidentes e inteligência de ameaças.
A execução começa com verificações anti-VM. O binário tenta identificar se está em um ambiente real de vítima ou em sandbox, incluindo checagens de virtualização. Quando conclui que a execução ocorre em máquina virtual, encerra cedo e exibe uma mensagem falsa de erro relacionada a DirectX, usando o texto DirectX failed to initialize memory during runtime, exiting. Esse comportamento reduz a probabilidade de observação automatizada em ambientes de análise dinâmica e também pode atrasar engenharia reversa baseada em execução controlada. Após essa fase, o malware cria um mutex para impedir múltiplas instâncias e abandona a execução caso o mutex já exista, evitando conflitos internos durante coleta, exfiltração ou criptografia.
Em seguida, a amostra copia a si mesma para a pasta temporária com nome aleatório no formato svchost_{random}.exe. A escolha imita um nome associado a processo legítimo do Windows, mas o uso dentro de Temp e com sufixo aleatório deve ser tratado como sinal de alerta. A conectividade é testada por até 120 tentativas de acesso a google.com/generate_204, endpoint frequentemente usado para validar acesso à internet sem exigir uma resposta volumosa. Depois disso, o ransomware executa verificações para decidir se o sistema deve ser considerado israelense. Os critérios específicos dessa checagem não foram detalhados, mas o efeito declarado é seletivo: a execução é evitada em sistemas identificados como israelenses.
A fase de coleta antecede a criptografia. O malware desabilita opções de SafeBoot e varre diretórios de alto valor, incluindo Documents, Downloads, Desktop, Videos, Pictures e Music, usando uma lista predefinida de extensões. Além de arquivos de usuário, a amostra coleta hives de registro, credenciais do sistema, dados de navegadores e informações de aplicações como Discord, Slack, Roblox, Telegram, Office, WhatsApp e Atomic Wallet. A tentativa de despejo do LSASS amplia o risco porque pode expor credenciais reutilizáveis para movimentação lateral, acesso a serviços internos e comprometimento de contas privilegiadas. O material é compactado como collected_data.zip e enviado a file.io, criando um canal de exfiltração simples, dependente de serviço público.
A etapa de reconhecimento de rede enumera a configuração local, mapeia hosts próximos por requisições ARP e testa sistemas descobertos. O malware procura serviços RDP expostos e tenta explorar dispositivos Fortinet usando CVE-2025-64446. Como não há indicação de que a exploração seja o vetor inicial confirmado, esse comportamento deve ser interpretado como expansão pós-comprometimento ou tentativa de aumentar alcance dentro do ambiente. Antes do impacto final, a amostra verifica produtos antivírus e VPN em execução, tenta encerrar seus processos e envia ao servidor de comando e controle informações da vítima e o link de file.io com o arquivo exfiltrado.
A criptografia ocorre depois de reconhecimento, coleta e manipulação de privilégios. O ransomware percorre diretórios comuns de usuário e cifra arquivos no local usando a API BCryptEncrypt, acrescentando a extensão .sicarii aos nomes. Ao final, implanta o script destruct.bat e registra sua execução na inicialização do sistema. Quando acionado, o script tenta corromper arquivos críticos do bootloader, utiliza ferramentas nativas como cipher e diskpart para operações destrutivas no disco e força desligamento imediato. Essa combinação dificulta restauração local, reduz o tempo de reação da vítima e aumenta a pressão de extorsão.
A superfície principal envolve endpoints Windows com acesso a diretórios de usuário, credenciais locais, navegadores e aplicações de comunicação. O risco cresce quando usuários mantêm sessões persistentes, tokens locais, dados de carteiras ou arquivos sensíveis em pastas padrão. Ambientes com permissões excessivas sobre compartilhamentos, ausência de segmentação e credenciais administrativas reutilizadas ficam mais expostos ao impacto indireto da coleta do LSASS e do reconhecimento de rede. Mesmo quando a criptografia é contida em um host, a exfiltração prévia pode exigir resposta de vazamento de dados e rotação de segredos.
A operação também afeta a camada de infraestrutura quando há RDP exposto, dispositivos Fortinet acessíveis e telemetria insuficiente em tráfego de saída. O uso de file.io para exfiltração indica que bloqueios baseados apenas em domínios tradicionalmente maliciosos podem falhar, pois o tráfego pode parecer upload comum para serviço público. A tentativa de alterar SafeBoot e registrar destruct.bat na inicialização amplia a superfície para mecanismos de defesa de endpoint, políticas de controle de aplicativos e monitoramento de alterações em configuração crítica do sistema.
- Endpoints Windows com diretórios de usuário acessíveis e dados sensíveis em
Documents,Downloads,Desktop,Videos,PictureseMusic. - Contas com credenciais em navegadores, sessões de comunicação, aplicações corporativas e possível material de carteira em
Atomic Wallet. - Hosts nos quais processos de segurança e VPN possam ser encerrados pelo usuário comprometido ou por execução com privilégio suficiente.
- Redes internas com RDP exposto, vizinhança descoberta por ARP e dispositivos Fortinet vulneráveis ou acessíveis a partir do host infectado.
- Ambientes sem bloqueio de upload para
file.ioou sem inspeção de volume, destino e padrão de criação de arquivos compactados antes da criptografia.
A caçada deve priorizar sequência de comportamento, não apenas nomes de arquivo. Um caso suspeito combina execução em diretório temporário com padrão svchost_*.exe, criação de mutex, tentativa repetida de acesso a google.com/generate_204, coleta de dados em múltiplos perfis de usuário, criação de collected_data.zip, conexão de saída para file.io e, posteriormente, aumento de operações de escrita com renomeação para .sicarii. Esse encadeamento diferencia o ransomware de ferramentas isoladas de compressão, sincronização ou administração remota.
Em endpoint, a telemetria mais útil inclui eventos de criação de processo, linha de comando, escrita em chaves de inicialização, alterações relacionadas a SafeBoot, acesso ao LSASS, chamadas a utilitários nativos como cipher e diskpart, e criação de scripts em disco. Em rede, deve-se correlacionar varredura ARP, tentativas de conexão RDP e tráfego para serviços externos de compartilhamento. Em identidade, qualquer autenticação posterior à suspeita de despejo do LSASS deve ser tratada como potencialmente comprometida, principalmente se partir de hosts não usuais, horários anômalos ou contas com privilégio administrativo.
Para inteligência de ameaças, os sinais de identidade do grupo devem ser mantidos separados dos sinais técnicos. A presença de hebraico, símbolos políticos ou narrativas nacionais não comprova autoria nem motivação. O uso fluente de inglês e russo, a baixa qualidade do hebraico, a reutilização de imagens de nicho, a concentração de envios ao VirusTotal e o atraso entre o site de vazamento e a primeira vítima indicam que a atribuição permanece inconclusiva. Defensores devem registrar esses elementos como contexto analítico, sem usá-los como base única para bloqueio, prioridade ou atribuição estatal.
- Criação ou execução de
svchost_{random}.exeem diretórios temporários, especialmente seguida por enumeração de arquivos de usuário. - Tentativas repetidas de acesso a
google.com/generate_204antes de coleta, reconhecimento e criptografia. - Criação de
collected_data.zipe upload subsequente parafile.ioou serviços públicos de compartilhamento de arquivos. - Acesso suspeito ao
LSASS, leitura de hives de registro e coleta de dados de navegadores,Discord,Slack,Telegram,Office,WhatsAppeAtomic Wallet. - Varredura ARP, sondagem de RDP, atividade contra Fortinet relacionada a
CVE-2025-64446e encerramento de processos de antivírus ou VPN. - Arquivos renomeados com extensão
.sicarii, execução deBCryptEncryptem massa e criação ou persistência dedestruct.bat.
A resposta deve começar com contenção de endpoints suspeitos e preservação de evidências. Sistemas com sinais de coleta ou exfiltração devem ser isolados da rede antes de desligamento, quando possível, para preservar artefatos voláteis, processos, conexões e chaves de registro. Como a cadeia inclui tentativa de despejo do LSASS, a mitigação precisa tratar credenciais como comprometidas: trocar senhas, revogar sessões, invalidar tokens, revisar chaves salvas e priorizar contas administrativas ou de serviço usadas no host. A simples restauração de arquivos não encerra o incidente se dados já foram enviados para file.io.
No plano preventivo, é necessário restringir execução em diretórios temporários, aplicar controle de aplicativos, impedir alterações não autorizadas em SafeBoot e monitorar o uso de cipher, diskpart e scripts de inicialização fora de janelas administrativas. Regras de EDR devem correlacionar compressão de dados, acesso ao LSASS, upload para compartilhamento externo e renomeação em massa. Em perímetro e rede interna, reduzir exposição de RDP, segmentar estáções, auditar dispositivos Fortinet e aplicar correções disponíveis para vulnerabilidades exploráveis são medidas prioritárias. Backups devem ser offline ou imutáveis, com teste periódico de restauração e validação de que scripts destrutivos não persistem no ambiente recuperado.
A análise de atribuição deve ser usada para calibrar comunicação e inteligência, não para adiar resposta técnica. A identidade pública do Sicarii apresenta sinais de encenação e baixa maturidade, mas o binário descrito executa ações suficientes para produzir extorsão dupla e indisponibilidade real. Organizações devem documentar a cadeia observada, preservar amostras e logs, buscar qualquer tráfego para serviços de exfiltração, revisar sistemas vizinhos alcançados por ARP ou RDP e confirmar se houve tentativa contra Fortinet. A validação final deve incluir varredura por extensão .sicarii, revisão de inicialização automática, checagem de integridade do bootloader e confirmação de que credenciais coletadas não continuam válidas.
- Isolar hosts com sinais de
svchost_{random}.exe,collected_data.zip, upload parafile.ioou extensão.sicarii. - Coletar memória, processos, conexões, logs de EDR, eventos de criação de processo e artefatos de persistência antes de reimagem, quando a condição operacional permitir.
- Revogar credenciais e sessões associadas a contas usadas no host, principalmente após qualquer evidência de acesso ao
LSASSou a hives de registro. - Bloquear ou controlar upload para serviços públicos de compartilhamento, incluindo
file.io, com exceções documentadas e inspeção de volume. - Aplicar correções e controles compensatórios em dispositivos Fortinet quando houver exposição a
CVE-2025-64446e revisar acessibilidade interna desses ativos. - Desabilitar RDP exposto sem necessidade, segmentar estáções e monitorar varredura ARP e conexões laterais iniciadas por endpoints de usuário.
- Impedir execução não autorizada de
destruct.bat,cipherediskpartem estáções, usando controle de aplicativos e alertas de alteração na inicialização. - Restaurar apenas a partir de backups verificados, offline ou imutáveis, depois de confirmar remoção de persistência e rotação de segredos.
0 Comentários