ShinyHunters desenvolve nova ferramenta sofisticada de ransomware como serviço – Against Invaders

ShinyHunters desenvolve nova ferramenta sofisticada de ransomware como serviço - Against Invaders

Numa escalada significativa do cenário global de ameaças cibernéticas, o notório grupo de ameaças ShinyHunters parece estar a transitar do roubo de dados para operações de ransomware em grande escala.

Os pesquisadores de segurança cibernética têm identificado uma construção inicial de uma nova plataforma Ransomware-as-a-Service (RaaS) chamada “ShinySp1d3r”, marcando a primeira instância em que o grupo evitou ferramentas de criptografia externas em favor do desenvolvimento de seu próprio kit de ferramentas proprietário.

A descoberta, inicialmente sinalizada no VirusTotal, oferece o primeiro vislumbre técnico de uma nova aliança assustadora. A inteligência sugere que ShinyHunters se uniu a elementos de Aranha Espalhada e Lapsus$ sob o banner “Caçadores de LAPSUS$ dispersos”.

Esta coalizão combina as proezas de engenharia social do Scattered Spider com as capacidades de roubo de dados de alto impacto do ShinyHunters.

O grupo já teria testado o terreno, com conversas iniciais no Telegram indicando tentativas de extorsão visando grandes corporações, incluindo Força de vendas e Jaguar Land Rover.

O desenvolvimento do ShinySp1d3r sinaliza um pivô estratégico em direção à autonomia. Ao controlar toda a cadeia de ataque, desde o acesso inicial até a criptografia, o grupo elimina a dependência de desenvolvedores terceirizados e retém 100% das receitas de extorsão.

A análise técnica da amostra ShinySp1d3r revela um conjunto de recursos sofisticado e agressivo projetado para máxima interrupção e evasão.

Historicamente, a ShinyHunters atuou como afiliada de marcas RaaS estabelecidas como BlackCat/ALPHV, Qilin e Ransom Hub.

O malware utiliza criptografia de fluxo ChaCha20 emparelhada com RSA-2048 para troca de chaves, anexando extensões exclusivas aos arquivos bloqueados. Notavelmente, o ransomware prende o EtwEventWrite para cegar o registro do Visualizador de Eventos do Windows, complicando os esforços de resposta a incidentes.

O malware é particularmente implacável no que diz respeito à recuperação do sistema. Ele exclui ativamente cópias de volume de sombra e substitui o espaço livre em disco com limpeza.[random] tmp para evitar a recuperação de dados forenses.

Para garantir que os arquivos não sejam bloqueados pelo sistema operacional durante a criptografia, ele encerra processos que contêm identificadores de arquivos, utilizando um recurso experimental denominado forceKillUsingRestartManager.

Os recursos de propagação são integrados diretamente no binário, permitindo que ele se espalhe lateralmente pelas redes com velocidade alarmante.

O malware inclui módulos como deployViaSCM (Service Control Manager), deployViaWMI (Windows Management Instrumentation) e tryGPODeployment. Ele também verifica e criptografa agressivamente compartilhamentos de rede abertos.

As vítimas da nova cepa são recebidas com um papel de parede malicioso e uma nota de resgate intitulada R3ADME_1Vks5fYe.txt. Os metadados nos arquivos criptografados são marcados com blocos distintos que variam de SPDR a ENDS.

Os desenvolvedores têm planos ambiciosos para o ShinySp1d3r. De acordo com comunicações clandestinas, o grupo está atualmente desenvolvendo variantes para Linux e Ambientes ESXibem como uma “versão relâmpago” escrita em Assembly (ASM) para criptografia ultrarrápida.

Embora o grupo tenha declarado publicamente que os hospitais e os países da CEI (Comunidade de Estados Independentes) estão fora dos limites, os especialistas em segurança cibernética permanecem céticos. Códigos “éticos” semelhantes de outras gangues RaaS têm sido frequentemente ignorados por afiliados em busca de pagamentos.

Com sua criptografia personalizada, propagação multivetorial e o apoio de três dos grupos de atores mais perigosos do mundo, o ShinySp1d3r está prestes a se tornar o principal vetor de ameaça em 2026.

As organizações são incentivadas a atualizar as assinaturas de detecção e revisar imediatamente as estratégias de defesa em profundidade.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.