CrazyHunter: ransomware Go mira hospitais em Taiwan

CrazyHunter é uma família de ransomware escrita em Go que vem sendo usada em ataques direcionados contra organizações de saúde em Taiwan, explorando técnicas avançadas de evasão e um fluxo de ataque bem estruturado para maximizar impacto operacional e pressão por pagamento de resgate. O foco em hospitais e infraestrutura médica é especialmente crítico, porque interrupções de sistemas podem afetar diretamente o atendimento a pacientes e envolver grandes volumes de dados sensíveis, o que aumenta o poder de extorsão dos criminosos.

Cadeia de ataque e movimento lateral

As campanhas atribuídas ao CrazyHunter começam com comprometimento do Active Directory, normalmente por meio de senhas fracas em contas de domínio, que servem como ponto de entrada inicial na rede. A partir daí, os operadores utilizam a ferramenta SharpGPOAbuse para distribuir o payload via Group Policy Objects (GPO), permitindo que o ransomware seja empurrado rapidamente para múltiplas máquinas unidas ao domínio, o que demonstra um nível elevado de maturidade operacional.

Uma vez estabelecido no ambiente, o malware executa uma sequência coordenada para desabilitar controles de segurança, implantar o binário de ransomware e manter sigilo operacional. Isso inclui múltiplos componentes voltados a desativar antivírus, técnicas de execução em memória para reduzir rastros em disco e mecanismos de “plano B” que garantem tentativa de criptografia mesmo se o método principal falhar, aumentando a taxa de sucesso do ataque.

Evasão com driver vulnerável e desativação de segurança

Um diferencial perigoso do CrazyHunter é o uso da estratégia de “bring-your-own-vulnerable-driver” (BYOVD), explorando uma versão legítima porém vulnerável do driver Zemana antimalware (2.18.371.0) para elevar privilégios e matar processos de segurança. Esse driver é carregado como serviço e permite que o código malicioso se registre como chamador autorizado, usando IOCTLs específicos para enviar requisições de terminação a processos de antivírus e EDR conhecidos, burlando rotinas de autoproteção desses produtos.

De acordo com análises de Trellix e outros laboratórios, esse padrão lembra ferramentas como Terminator EDR, que também abusam do mesmo ecossistema de drivers Zemana para desativar produtos de segurança em nível de kernel. Ao se apoiar nessa superfície, CrazyHunter reduz muito as chances de detecção durante a fase crítica de criptografia, especialmente em ambientes onde o hardening de drivers não foi aplicado.

Mecanismo de criptografia e formato dos arquivos

No estágio de impacto, CrazyHunter aplica uma arquitetura híbrida de criptografia, combinando ChaCha20 como cifra de fluxo e ECIES (Elliptic Curve Integrated Encryption Scheme) para proteger as chaves, garantindo confidencialidade forte com chaves menores que equivalentes RSA. O malware utiliza uma estratégia de criptografia parcial: para cada arquivo, cifra um byte e deixa dois bytes em claro, em um padrão 1:2 que acelera drasticamente o processo e, ao mesmo tempo, pode dificultar a detecção baseada em comportamento de I/O intenso típico de criptografia total.

Para cada arquivo afetado, o ransomware gera uma chave e um nonce ChaCha20 únicos, que são então cifrados com a chave pública ECIES do operador antes de serem prefixados ao conteúdo. O resultado é um arquivo com extensão .Hunter contendo, em sequência, a chave e o nonce protegidos por ECIES e o conteúdo parcialmente criptografado, o que torna a recuperação de dados inviável sem a chave privada em posse do grupo criminoso, eliminando na prática a possibilidade de decriptação por meios convencionais.

Infraestrutura criminosa e negociação

CrazyHunter opera com uma infraestrutura de extorsão estruturada, incluindo site de vazamento de dados, canais de e‑mail dedicados, comunicação via Telegram e infraestrutura de rede anônima para contato e negociação com vítimas. Os painéis de vítima exibidos em páginas de vazamento mostram organizações de saúde atingidas e reforçam a estratégia de “naming and shaming”, aumentando a pressão pública por pagamento em caso de vazamento de prontuários e dados clínicos.

Relatórios de inteligência apontam que o grupo está em rápida evolução, com ciclos curtos de desenvolvimento, iterações constantes no código e melhorias em técnicas de comprometimento de rede e evasão ao longo do tempo. Essa combinação de foco setorial, sofisticação técnica e infraestrutura de negociação bem definida posiciona o CrazyHunter como uma ameaça de alto impacto para o setor de saúde e outros serviços críticos, especialmente em regiões como Taiwan, onde já há pelo menos seis vítimas confirmadas.