Em março de 2026, pesquisadores de segurança revelaram uma nova técnica de ataque cibernético usada pelo grupo LeakNet. Este grupo, especializado em ransomware, utiliza a ferramenta legítima Deno, um ambiente de execução para JavaScript. Ao adotar esse método, o LeakNet consegue rodar código malicioso diretamente na memória do sistema da vítima, sem deixar rastros evidentes. O Deno é reconhecido como confiável pelos antivírus, o que facilita a execução do ataque sem ser detectado.
A tática que o LeakNet usa é conhecida como BYOR (Bring Your Own Runtime, ou “Traga seu próprio ambiente de execução”). Os atacantes não criam malware personalizado. Em vez disso, eles se aproveitam de uma ferramenta legítima, tornando o código malicioso muito mais difícil de identificar.
O que é o LeakNet?
O LeakNet é um grupo criminoso que se especializa em ataques de ransomware. Esse tipo de malware sequestra os dados de uma vítima, criptografa-os e exige um pagamento para liberar o acesso. O grupo está ativo desde o final de 2024, com uma média de três vítimas por mês. Recentemente, eles expandiram suas operações, adotando novas técnicas como ClickFix e Deno, que aumentam a eficácia de seus ataques.
A técnica ClickFix: Engenharia social como porta de entrada
O ClickFix é uma técnica baseada em engenharia social. Em vez de explorar falhas técnicas, ela manipula o comportamento humano. O atacante induz a vítima a executar um comando malicioso, acreditando ser uma atualização necessária ou um erro do sistema. A vítima, então, executa o ataque sem perceber.
Esse método é semelhante ao utilizado por outros grupos de cibercriminosos, como Termite e Interlock, que também exploram a engenharia social para invadir sistemas. No caso do LeakNet, o ClickFix facilita a execução do malware, tornando o ataque mais discreto.
A sacada do Deno: Execução em memória e sem rastros
O LeakNet faz uso do Deno, um ambiente legítimo e de código aberto para JavaScript e TypeScript. Diferente de outros malwares, que são armazenados em arquivos no disco, o código malicioso do LeakNet é executado diretamente na memória. Esse método é chamado de execução in-memory.
A execução in-memory não deixa rastros no disco rígido, o que dificulta a detecção. A maioria dos antivírus e ferramentas de segurança analisa arquivos armazenados no disco. Como o malware não é gravado, ele passa despercebido. Essa técnica permite que os atacantes executem o código malicioso sem chamar atenção.
O que acontece após a execução do código malicioso?
Depois que o código malicioso é executado, ele começa a coletar informações sobre a máquina da vítima. Esse processo é chamado de fingerprinting do host. Com as informações coletadas, o malware gera um identificador único para cada máquina.
O malware então se conecta a um servidor de Comando e Controle (C2), onde os atacantes podem enviar novas instruções. Além disso, o malware busca o payload de segundo estágio, que é o componente mais destrutivo do ataque.
Como os atacantes se aprofundam na rede
Após conseguir o acesso inicial, os atacantes ampliam seu controle sobre a rede da vítima. Para isso, eles usam técnicas como DLL sideloading. Esse método envolve a inserção de uma DLL maliciosa em um diretório onde um programa legítimo, como o Java, a carregará sem perceber. Isso permite que o malware se disfarce e passe despercebido.
Além disso, o LeakNet usa ferramentas legítimas, como o PsExec, para se mover lateralmente pela rede. O PsExec permite que os atacantes executem processos remotamente, o que facilita a propagação do ataque.
O roubo de dados: A coleta e exfiltração de informações
Antes de ativar o ransomware, os atacantes roubam os dados da vítima. Eles utilizam buckets do Amazon S3, espaços de armazenamento em nuvem da AWS, para exfiltrar os dados. Esse tráfego é comum em redes corporativas, o que ajuda a esconder a atividade maliciosa.
Essa exfiltração garante que os atacantes tenham uma cópia dos dados da vítima antes de criptografá-los. Em alguns casos, eles também ameaçam divulgar os dados roubados caso a vítima se recuse a pagar o resgate exigido.
Como as empresas podem se proteger?
Embora a técnica de LeakNet seja sofisticada, ela segue uma sequência previsível. Por isso, algumas estratégias podem ajudar as empresas a detectar esses ataques antes que causem grandes danos. Entre os sinais de alerta estão:
- Deno sendo executado fora de ambientes de desenvolvimento.
- Uso suspeito de msiexec a partir de navegadores.
- PsExec funcionando de forma anômala.
- Tráfego de saída inesperado para servidores da Amazon S3.
- DLL sideloading em diretórios incomuns.
As empresas devem implementar ferramentas de monitoramento para identificar esses sinais precoces e tomar as medidas necessárias para bloquear os ataques.
A importância da prevenção e da resposta rápida
A prevenção é sempre a melhor estratégia contra ataques como os do LeakNet. Além de monitorar sinais de alerta, as empresas devem investir no treinamento de suas equipes de segurança cibernética. Garantir que todos estejam cientes das ameaças e saibam como reagir rapidamente é essencial para minimizar os danos.
Em caso de ataque bem-sucedido, a resposta rápida é crucial. As empresas devem ter um plano de resposta a incidentes, que inclua a contenção do ataque, a investigação forense e a recuperação dos dados. Além disso, manter backups regulares e fora da rede pode ser a chave para restaurar dados sem precisar pagar o resgate.
Conclusão
O LeakNet é um grupo criminoso altamente sofisticado, que adota técnicas avançadas como o Deno e BYOR para invadir redes corporativas. Essas novas táticas dificultam a detecção e tornam os ataques mais eficazes. As empresas precisam estar atentas a esses sinais de alerta e adotar medidas proativas para proteger suas redes e dados.
