O cenário de ameaças digitais continua evoluindo rapidamente, e o Ransomware LeakNet é um exemplo claro dessa transformação. Pesquisadores de segurança vêm alertando para uma nova tática utilizada pelo grupo: o uso do runtime Deno como parte de ataques furtivos que exploram engenharia social e execução em memória.
A técnica, conhecida como ClickFix, combina manipulação do usuário com o abuso de ferramentas legítimas de código aberto. O resultado é um ataque difícil de detectar por antivírus tradicionais e sistemas de monitoramento baseados em assinaturas.
O que torna essa abordagem particularmente preocupante é o fato de o Deno ser amplamente reconhecido como um runtime moderno e seguro para JavaScript e TypeScript. No entanto, assim como ocorreu no passado com outras ferramentas legítimas, criminosos estão adaptando a tecnologia para atividades maliciosas, principalmente usando a estratégia BYOR (Bring Your Own Runtime), ou “traga seu próprio runtime”.
Para profissionais de TI, administradores de sistemas e desenvolvedores, entender como o Ransomware LeakNet está operando é fundamental para identificar sinais de comprometimento e reforçar a segurança dos ambientes corporativos.
O que é a técnica ClickFix e como ela inicia o ataque
A técnica ClickFix baseia-se principalmente em engenharia social. Em vez de explorar diretamente uma vulnerabilidade técnica, o ataque depende da interação da vítima para iniciar a execução do código malicioso.
Normalmente, o processo começa com um site comprometido ou um anúncio malicioso que exibe uma mensagem de erro falsa. Essa mensagem afirma que algo precisa ser corrigido no navegador ou no sistema do usuário, instruindo a vítima a copiar e colar um comando no terminal ou no PowerShell para “resolver o problema”.
Esse tipo de mensagem pode simular alertas de segurança, falhas de reprodução de vídeo ou até erros relacionados a atualizações do sistema. Ao seguir as instruções, o usuário executa involuntariamente um script malicioso.
Esse script inicial geralmente é pequeno e tem como objetivo baixar ou preparar o ambiente para o próximo estágio do ataque. É nesse momento que entra uma das partes mais sofisticadas da operação do Ransomware LeakNet: o uso do runtime Deno para executar código malicioso de forma discreta.
Deno: Por que os criminosos estão “trazendo seu próprio runtime”
A estratégia BYOR tem ganhado popularidade entre grupos de cibercrime porque permite contornar diversas camadas de defesa tradicionais. Em vez de depender de ferramentas já instaladas no sistema da vítima, os atacantes introduzem seus próprios executáveis confiáveis.
No caso do Ransomware LeakNet, os operadores do malware baixam ou transportam o binário do Deno para o sistema comprometido. Como o Deno é um projeto legítimo de código aberto, seu binário geralmente não é bloqueado por antivírus ou firewalls corporativos.
Esse comportamento cria um cenário complicado para as equipes de segurança. Ferramentas de detecção muitas vezes classificam o binário como seguro, permitindo sua execução sem levantar suspeitas.
Uma vez presente no sistema, o runtime pode executar scripts JavaScript ou TypeScript hospedados remotamente, muitas vezes carregados diretamente da internet. Isso permite que o código malicioso seja atualizado dinamicamente sem precisar modificar arquivos locais.
Além disso, a natureza flexível do Deno facilita a execução de scripts complexos que realizam coleta de dados, comunicação com servidores de comando e controle e preparação para a etapa de ransomware.
Execução em memória e evasão forense
Um dos aspectos mais perigosos dessa técnica é o comportamento fileless, ou seja, a execução do código diretamente em memória.
Nesse modelo de ataque, os scripts são carregados e executados sem a necessidade de gravar arquivos permanentes no disco. Isso reduz drasticamente os artefatos que ferramentas forenses normalmente utilizam para detectar uma intrusão.
Para analistas de segurança, isso significa que muitos indicadores tradicionais de comprometimento simplesmente não aparecem. Logs podem mostrar apenas a execução do Deno, sem revelar imediatamente o código malicioso que foi carregado.
Essa abordagem também dificulta a análise posterior do incidente. Quando o sistema é reiniciado, parte das evidências pode desaparecer, dificultando a reconstrução do ataque.
Como resultado, o Ransomware LeakNet consegue operar de maneira muito mais discreta dentro da rede comprometida.
Pós-exploração e exfiltração de dados
Depois de estabelecer presença no sistema, os operadores do Ransomware LeakNet iniciam a fase de pós-exploração.
Nessa etapa, o objetivo principal é expandir o acesso dentro da rede e coletar dados valiosos antes da criptografia final. Esse processo pode incluir a coleta de credenciais, reconhecimento da infraestrutura interna e movimentação lateral entre servidores.
Ferramentas como PsExec frequentemente são utilizadas para executar comandos remotamente em outros sistemas da rede. Isso permite que os atacantes ampliem rapidamente o alcance do ataque.
Para exfiltrar dados, os criminosos têm utilizado serviços legítimos de armazenamento em nuvem. Em algumas campanhas recentes, pesquisadores observaram o uso de buckets no Amazon S3 para armazenar informações roubadas.
Essa abordagem oferece duas vantagens importantes para os atacantes. Primeiro, o tráfego para serviços populares de nuvem costuma ser permitido em redes corporativas. Segundo, o uso de infraestrutura legítima dificulta o bloqueio imediato da comunicação maliciosa.
Somente após essa fase de coleta e exfiltração é que o ransomware propriamente dito pode ser implantado, aumentando a pressão sobre a vítima durante o processo de extorsão.
Como se proteger e identificar a atividade
A detecção de ataques que utilizam BYOR e execução fileless exige uma abordagem mais avançada de monitoramento.
Em vez de focar apenas em malware tradicional, as equipes de segurança precisam observar o comportamento das ferramentas dentro do ambiente.
Alguns sinais de alerta incluem:
- Execução do Deno em máquinas que não são usadas para desenvolvimento.
- Execução do runtime a partir de diretórios temporários ou downloads recentes.
- Scripts sendo carregados remotamente durante a execução do Deno.
- Tráfego incomum para serviços de armazenamento como Amazon S3.
- Uso inesperado de ferramentas administrativas como PsExec em ambientes onde elas não são comuns.
Além disso, políticas de segurança podem ajudar a reduzir o risco desse tipo de ataque.
A adoção de controle de aplicações (application whitelisting), por exemplo, pode limitar quais binários podem ser executados em sistemas críticos. Monitoramento de PowerShell e logs de linha de comando também ajudam a identificar atividades suspeitas iniciadas pela técnica ClickFix.
Treinamentos de conscientização de segurança continuam sendo uma das defesas mais importantes. Como a fase inicial do ataque depende de engenharia social, usuários bem informados têm mais chances de reconhecer instruções suspeitas e evitar executar comandos perigosos.
Conclusão: a evolução do ransomware em 2026
O caso do Ransomware LeakNet demonstra como o ecossistema de ameaças continua evoluindo ao explorar ferramentas legítimas para fins maliciosos.
Ao utilizar o runtime Deno em uma estratégia BYOR, os atacantes conseguem contornar diversos mecanismos de defesa tradicionais e executar código fileless de forma furtiva.
Esse tipo de abordagem reforça uma lição importante para as equipes de segurança: não basta apenas bloquear malware conhecido. É necessário monitorar o comportamento de ferramentas legítimas e identificar quando elas estão sendo usadas fora de seu contexto normal.
À medida que os ataques se tornam mais sofisticados, organizações precisam investir em visibilidade, monitoramento e treinamento contínuo para reduzir a superfície de ataque.
Se você trabalha com segurança, administração de sistemas ou desenvolvimento, vale refletir sobre como runtimes e ferramentas legítimas são monitorados dentro do seu ambiente. Compartilhe sua experiência e estratégias de detecção com a comunidade, fortalecer a troca de conhecimento é uma das melhores formas de enfrentar as ameaças emergentes.