Hakuna Matata: ransomware bloqueia PCs e rouba dados financeiros

Ransomware – Uma campanha de ransomware batizada de Hakuna Matata vem comprometendo computadores com Windows a partir de arquivos empresariais aparentemente legítimos. Ao serem abertos, esses documentos ativam uma cadeia de ataque em múltiplas etapas, permitindo desde vigilância contínua do usuário até o roubo de informações financeiras sensíveis.

De acordo com análises da Fortinet, a operação se destaca por explorar exclusivamente recursos legítimos do próprio Windows, além de ferramentas administrativas nativas e plataformas populares de nuvem pública, como GitHub, Dropbox e Telegram. Essa estratégia faz com que a atividade maliciosa se misture ao tráfego corporativo comum, dificultando a detecção.

LEIA: Pequenos negócios têm até 30 de janeiro para renegociar dívidas com a União

A campanha reúne, em uma única ofensiva coordenada, o ransomware Hakuna Matata, o trojan bancário Amnesia RAT e mecanismos de bloqueio total do sistema. Antes de executar cargas destrutivas, o malware desativa cuidadosamente as proteções do ambiente comprometido.

A infecção tem início com arquivos compactados que contêm atalhos LNK maliciosos, disfarçados como documentos contábeis ou administrativos. Ao clicar no arquivo acreditando tratar-se de uma planilha legítima, a vítima aciona um comando em PowerShell, que ignora políticas de execução e baixa, de forma silenciosa, um script ofuscado hospedado no GitHub.

Esse carregador inicial garante persistência no sistema, cria documentos falsos para distrair o usuário e estabelece comunicação com os operadores do ataque por meio da API do Telegram Bot, confirmando que a primeira etapa foi concluída com sucesso. Como todo o tráfego envolve serviços amplamente utilizados, a atividade tende a parecer normal aos mecanismos de segurança tradicionais.

Os pesquisadores da Fortinet chegaram à ameaça após identificar técnicas de evasão distribuídas ao longo de toda a cadeia de ataque, com destaque para o uso operacional do Defendnot.

Um dos pontos centrais da campanha é a reutilização do Defendnot, uma ferramenta criada originalmente para fins de pesquisa e demonstração de falhas no Windows Security Center. Na operação Hakuna Matata, esse recurso foi transformado em arma para desativar o Microsoft Defender.

O Defendnot registra no sistema um antivírus fictício e explora a lógica de confiança do Windows. Ao acreditar que outra solução de segurança está instalada, o sistema operacional desliga automaticamente o Defender para evitar conflitos, deixando o computador exposto a ataques subsequentes.

Quatro fases de impacto crescente

Com as defesas neutralizadas, o malware inicia uma etapa de sabotagem do ambiente, desabilitando ferramentas administrativas, apagando pontos de restauração e sequestrando associações de arquivos. Essas ações impedem o uso de aplicativos legítimos e bloqueiam tentativas de recuperação do sistema.

Na segunda fase, a campanha passa ao reconhecimento e à vigilância ativa, implantando módulos de captura de tela que registram continuamente a atividade do usuário. O objetivo é identificar credenciais, dados sensíveis e informações financeiras para extração posterior.

Em seguida, os atacantes aplicam um bloqueio completo do sistema. Um WinLocker impede qualquer uso normal do computador e exibe contadores regressivos, criando pressão psicológica para que a vítima entre em contato e negocie o pagamento do resgate.

A etapa final combina duas ações simultâneas: o roubo de dados e a criptografia dos arquivos. O Amnesia RAT garante acesso remoto persistente e coleta credenciais salvas em navegadores, carteiras de criptomoedas e dados bancários, enquanto o ransomware Hakuna Matata criptografa os arquivos do usuário, acrescentando a extensão “NeverMind12F” e tornando os dados inacessíveis sem a chave controlada pelos criminosos.

Uso de serviços legítimos dificulta a detecção

O diferencial técnico da campanha está no uso estratégico de plataformas amplamente confiáveis. Scripts hospedados no GitHub, cargas distribuídas via Dropbox e comunicação feita pelo Telegram fazem com que o tráfego malicioso se confunda com atividades corporativas rotineiras.

Soluções de segurança baseadas apenas em assinaturas enfrentam dificuldades para identificar a ameaça, já que as conexões de rede aparentam ser acessos normais a serviços populares. Todo o processo inicial é conduzido pelo PowerShell, uma ferramenta administrativa legítima do Windows, sem gerar alertas imediatos.

Essa técnica, conhecida como Living off the Land, permite que os invasores permaneçam ocultos por longos períodos, ampliando o impacto do ataque antes que qualquer comportamento suspeito seja percebido.

Como se proteger

Especialistas em segurança recomendam medidas adicionais para reduzir o risco de infecção por campanhas como a Hakuna Matata:
• Desconfie de documentos inesperados: evite abrir arquivos compactados ou documentos corporativos enviados por fontes não verificadas. Sempre confirme a legitimidade do envio por um canal alternativo;
• Observe sinais de comportamento anômalo: consumo excessivo de bateria, ventoinhas operando constantemente, lentidão incomum ou processos desconhecidos no Gerenciador de Tarefas podem indicar infecção;
• Mantenha backups offline: cópias de segurança armazenadas fora da rede não podem ser criptografadas durante o ataque;
• Adote segurança em múltiplas camadas: combine antivírus com firewall, detecção comportamental e monitoramento de rede. A campanha mostrou que o Microsoft Defender pode ser neutralizado;
• Restrinja políticas de execução: configure o PowerShell e outras ferramentas administrativas para exigir scripts assinados digitalmente, reduzindo a eficácia de ataques que exploram desvios de política.

(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/DC Studio)