Grups ransomware amaguen EDR amb Shanya packer

alta · RANSOMWARE · tecnologia, serveis, administració

#noticia#ransomware#gravetat-alta#tecnologia#serveis#ciberseguretat#edr#malware

9 de desembre del 2025 · BleepingComputer ↗

Resum

Diversos grups de ransomware utilitzen Shanya, un servei de empaquetat d’executables, per ocultar eines que desactiven solucions EDR. Aquest mètode xifra i carrega el codi maliciós directament a la memòria, evitant la detecció en disc. Investigadors alerten que aquesta tècnica dificulta l’anàlisi i augmenta la sofisticació dels atacs.

Què ha passat?

Diversos grups de ransomware han començat a utilitzar un servei anomenat Shanya, que actua com a packer-as-a-service (PaaS), per empaquetar i ocultar els seus components maliciosos, especialment eines dissenyades per desactivar solucions de detecció i resposta d’endpoint (EDR). Aquest servei xifra i comprimeix el codi maliciós, que es carrega i s’executa directament a la memòria dins d’una còpia modificada del fitxer legítim shell32.dll, evitant que el codi toqui el disc i, per tant, dificultant la seva detecció per antivirus i altres eines de seguretat.

Els investigadors de Sophos han detectat que Shanya realitza comprovacions específiques per detectar la presència d’EDR, provocant errors o bloquejos quan s’executa en entorns d’anàlisi automatitzada, la qual cosa impedeix l’estudi complet del malware. A més, el servei permet que un controlador maliciós desactivi processos i serveis de seguretat mitjançant ordres enviades des de l’espai d’usuari, facilitant així la infiltració i persistència dels atacants.

Aquest mètode ha estat observat en campanyes recents que utilitzen diferents tipus de malware, incloent ransomware i troians com CastleRAT, mostrant una tendència creixent a utilitzar serveis de empaquetat per millorar la invisibilitat i l’eficàcia dels atacs.

Impacte empreses

Les petites i mitjanes empreses (pimes) es veuen especialment vulnerables davant aquesta nova tècnica, ja que moltes no disposen de solucions avançades d’EDR o equips especialitzats en ciberseguretat. L’ús de Shanya per ocultar eines que desactiven la protecció fa que els atacs de ransomware siguin més difícils de detectar i mitigar, augmentant el risc de pèrdua de dades, interrupció del negoci i costos associats a la recuperació.

Impacte ciutadans

Per a la ciutadania, aquesta evolució en les tècniques dels ciberdelinqüents implica un augment del risc que els seus dispositius personals siguin infectats sense que les solucions de seguretat habituals ho detectin. Això pot traduir-se en robatori d’informació personal, bloqueig d’accés a dades i possibles extorsions, afectant la privacitat i la seguretat digital dels usuaris comuns.

Accions immediates

Actualitzar i reforçar les solucions de seguretat amb capacitats EDR avançades
Monitoritzar processos i serveis sospitosos per detectar activitats anòmales

Mesures preventives

Formar el personal en ciberseguretat i detecció de comportaments sospitosos
Implementar polítiques de seguretat estrictes i còpies de seguretat regulars i fora de línia