Gruparea de ransomware care folosește aplicații legitime de monitorizare a angajaților pentru atacuri cibernetice: Cum funcționează tactica
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/situatie-bizara-grupare-ransomware-crazy.jpg)
O nouă serie de atacuri cibernetice scoate la iveală o tactică tot mai frecventă în zona criminalității digitale: folosirea unor instrumente legitime de administrare și monitorizare IT în scopuri malițioase.
Membri ai grupării de ransomware cunoscută sub numele de Crazy au fost identificați folosind software de monitorizare a angajaților și soluții comerciale de acces remote pentru a-și menține accesul în rețelele corporative compromise, pentru a evita detectarea și pentru a pregăti lansarea atacurilor ransomware.
Cazurile au fost documentate de cercetătorii în securitate cibernetică de la Huntress, care au analizat mai multe incidente în care atacatorii au instalat aplicații comerciale reale, mascându-și activitatea ca administrare IT normală, scrie Bleeping Computer.
Strategia este periculoasă tocmai pentru că aceste instrumente sunt utilizate legitim în multe companii, ceea ce le permite infractorilor să se „piardă” în traficul obișnuit de rețea și în activitățile administrative curente.
Cum au fost folosite aplicațiile legitime ca arme cibernetice
În cel puțin un atac documentat, infractorii au instalat aplicația Net Monitor for Employees Professional, un software comercial de monitorizare a angajaților, folosind utilitarul standard Windows Installer (msiexec.exe).
Instalarea a fost realizată direct din sursa oficială a dezvoltatorului, ceea ce a redus suspiciunile și șansele de detecție automată de către soluțiile de securitate.
Odată activată, aplicația le-a oferit atacatorilor acces complet la sistemele compromise: vizualizarea desktopului în timp real, transfer de fișiere, execuție de comenzi și control interactiv asupra calculatoarelor. Practic, sistemele infectate deveneau complet administrabile de la distanță, fără a fi nevoie de malware clasic.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/malware-android-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/04/vimeo-hacker-316x158.jpg)
Pentru consolidarea accesului, atacatorii au încercat activarea contului de administrator local din Windows, iar ulterior au instalat și instrumentul SimpleHelp, o soluție legitimă de suport remote.
Aceasta a fost descărcată prin comenzi PowerShell și camuflată sub denumiri de fișiere care imitau aplicații cunoscute, inclusiv componente asociate cu OneDrive sau Visual Studio, pentru a părea inofensive.
Concret, abordarea a creat un sistem de acces redundant: dacă una dintre aplicații era detectată și eliminată, cealaltă asigura continuitatea controlului asupra rețelei.
În paralel, cercetătorii au observat și tentative de dezactivare a Windows Defender, prin oprirea și ștergerea serviciilor asociate, pentru a reduce protecția sistemelor compromise.
Monitorizare internă pentru pregătirea atacurilor ransomware
Atacatorii nu s-au limitat la controlul sistemelor, ci au folosit funcțiile avansate ale aplicațiilor de monitorizare pentru a-și optimiza atacul.
Într-unul dintre incidente, au configurat reguli automate de alertare care îi notificau atunci când utilizatorii accesau portofele de criptomonede, platforme de schimb crypto sau servicii financiare online.
De asemenea, sistemele erau monitorizate pentru detectarea altor instrumente de administrare la distanță, precum RDP, AnyDesk, TeamViewer sau VNC, semn că atacatorii voiau să știe dacă alți administratori sau tehnicieni legitimi se conectau la aceleași dispozitive.
Supravegherea le oferea o imagine în timp real asupra activității interne din companie și asupra momentului optim pentru lansarea ransomware-ului sau pentru tentative de furt de criptomonede.
Deși doar unul dintre cazuri a dus efectiv la activarea ransomware-ului Crazy, specialiștii Huntress au concluzionat că ambele incidente sunt foarte probabil opera aceluiași actor sau grup, pe baza infrastructurii de comandă și control și a fișierelor identice utilizate în atacuri.
Cazul evidențiază o tendință îngrijorătoare în securitatea cibernetică modernă: transformarea software-ului legitim în vector de atac.
În locul malware-ului clasic, detectabil mai ușor, infractorii folosesc aplicații comerciale reale, perfect funcționale, pentru a obține control asupra infrastructurii IT.
Specialiștii avertizează că organizațiile trebuie să monitorizeze atent instalările neautorizate de aplicații de acces remote și software de monitorizare, chiar dacă acestea sunt produse legitime.
În plus, atacurile analizate au pornit de la compromiterea credențialelor SSL VPN, ceea ce subliniază necesitatea implementării autentificării multifactor (MFA) pe toate serviciile de acces la distanță.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/77c65c6b63ea59b3db42c749512d7a00-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/cb53cc789f9dc99c375bd558eef50b1e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/4296d57ac990f2255d6e96d2aa1e3809-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/642af41f1978ad6c1363e94ec649a4eb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/9577a07b8e1cf2d60e2adb4040c9b6d3-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/e9574ab632b283a591fd6bcdb65f9086-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/f0f751b66c8275907d38709f45ea6f0d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Taxa-pentru-noul-buletin-electronic.-Data-de-la-care-romanii-vor-fi-nevoiti-sa-plateasca-pentru-el.webp)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Trucuri-Windows-11-microsoft.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Cati-romani-castiga-sub-salariul-mediu-net-de-5.843-de-lei.-Datele-care-arata-realitatea-din-piata-muncii.webp)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/A-platit-450-de-euro-pentru-un-mic-dejun-fara-sa-stie.-Cum-a-fost-pacalit-un-pensionar-timp-de-doi-ani.jpg)