Acronis observou que 55% dos incidentes recentes atingem empresas na Índia, com casos também no Brasil, Alemanha e outros países, sempre com foco em RDP exposto com credenciais fracas ou reutilizadas. A cadeia típica começa com brute force usando ferramentas como NLBrute contra portas 3389 abertas; uma vez obtido acesso, os operadores carregam scanners de rede, ferramentas de movimento lateral, exploits de privilégio e “AV killers”.
Os artefatos são espalhados por shares RDP montados, pastas de música e desktops, com nomes enganosos como taskmgr.exe, bug_hand.exe e mc_osn.exe, para se camuflar entre processos e arquivos legítimos. Se a solução de segurança reage cedo, os atacantes tentam técnicas de evasão avançadas; caso falhem em contornar as defesas, frequentemente abandonam o alvo para reduzir ruído e risco.
Ferramentas, LPEs e BYOVD
Makop carrega um “arsenal” de exploits de elevação de privilégio para Windows, mantendo múltiplas opções para contornar patches parciais. A lista inclui CVEs antigos, porém ainda eficazes em ambientes desatualizados, como CVE‑2016‑0099, CVE‑2017‑0213, CVE‑2018‑8639, CVE‑2019‑1388, CVE‑2020‑0787, CVE‑2020‑0796 (SMBGhost), CVE‑2020‑1066, CVE‑2021‑41379 e CVE‑2022‑24521, todos focados em LPE via kernel, Win32k, BITS, Installer e serviços de sistema.
O grupo também usa GuLoader para entregar payloads secundários, reforçando a cadeia com um loader conhecido pela capacidade de contornar detecções e baixar diferentes tipos de malware. Para desativar EDR/AV, empregam técnicas BYOVD com drivers legítimos mas vulneráveis, como ThrottleStop.sys (CVE‑2025‑7771) e hlpdrv.sys, que dão leitura/escrita arbitrária de memória em ring‑0, permitindo matar processos de segurança por meio de hijack de funções de kernel. Em alvos indianos, foram vistos desinstaladores específicos contra o Quick Heal Antivirus, sinalizando adaptação regional.
Recomendações de defesa
- Fechar e endurecer RDP: desabilitar RDP público sempre que possível, exigir VPN e MFA, aplicar políticas de lockout e monitorar tentativas de login anômalas.
- Gerenciar vulnerabilidades: aplicar patches de Windows para LPEs e SMBGhost, e bloquear drivers vulneráveis (como versões afetadas de ThrottleStop/
hlpdrv.sys) via políticas de controle de drivers e HVCI/WDAC. - Fortalecer EDR/AV: usar soluções capazes de detectar BYOVD, scanners em massa, GuLoader e comportamentos típicos de ransomware (criptação em massa, modificação de backups).
- Monitorar lateral movement: alertar para uso inesperado de ferramentas como NetScan, Advanced IP Scanner, Masscan e criação de executáveis suspeitos em shares e áreas de usuário.
Makop ilustra como operadores de ransomware conseguem grande impacto combinando RDP mal protegido, CVEs antigos ainda exploráveis e drivers legítimos inseguros, reforçando a necessidade de higiene básica, patching disciplinado e controles específicos contra BYOVD.






