Pesquisadores da Huntress identificaram que membros do grupo de ransomware Crazy estão utilizando softwares legítimos de monitoramento de funcionários e ferramentas de suporte remoto, como o SimpleHelp, para manter acesso persistente em redes corporativas e se preparar para a implantação de ransomware. Os atacantes instalaram o Net Monitor for Employees Professional em sistemas comprometidos, permitindo acesso remoto completo, incluindo visualização de desktop e execução de comandos. Além disso, tentaram ativar a conta de administrador local e instalaram o cliente SimpleHelp para garantir acesso contínuo, mesmo que o software de monitoramento fosse removido. Os atacantes monitoraram atividades relacionadas a carteiras de criptomoedas e ferramentas de gerenciamento remoto, buscando detectar qualquer atividade suspeita. A Huntress alerta que a utilização de ferramentas de gerenciamento remoto legítimas tem se tornado comum em intrusões de ransomware, permitindo que os atacantes se misturem ao tráfego de rede normal. A recomendação é que as organizações monitorem de perto a instalação não autorizada de tais ferramentas e implementem autenticação multifator (MFA) em serviços de acesso remoto para proteger suas redes.
Fonte: https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
11/02/2026 • Risco: ALTO
RANSOMWARE
Grupo de ransomware Crazy usa software legítimo para ataques
RESUMO EXECUTIVO
O uso de softwares legítimos para ataques de ransomware representa uma nova fronteira de ameaças. A detecção e resposta a esses ataques exigem vigilância constante e a implementação de medidas de segurança robustas, como MFA e monitoramento de instalações de software.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a ransomware e roubo de dados.
Operacional
Acesso completo a sistemas comprometidos e potencial roubo de criptomoedas.
Setores vulneráveis
['Setores financeiros, tecnologia, e-commerce']
📊 INDICADORES CHAVE
Uso de palavras-chave relacionadas a carteiras de criptomoedas monitoradas.
Indicador
Tentativas de ativação da conta de administrador local.
Contexto BR
Monitoramento de ferramentas de acesso remoto como RDP e AnyDesk.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a instalação de softwares de monitoramento não autorizados.
2
Implementar autenticação multifator em todos os serviços de acesso remoto.
3
Monitorar continuamente logs de acesso e atividades relacionadas a ferramentas de suporte remoto.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação dos ataques que utilizam ferramentas legítimas, o que dificulta a detecção.
⚖️ COMPLIANCE
Implicações para a LGPD em caso de vazamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
