Imagine receber um e-mail aparentemente inofensivo com o assunto “Seu documento” e, ao clicar, ver todo o seu HD ser criptografado em silêncio – mesmo que seu PC esteja fora da internet. É exatamente assim que a nova campanha do ransomware Global Group está agindo, segundo pesquisa publicada pela Forcepoint. O truque usa arquivos de atalho do Windows (.lnk) disfarçados de documentos do Word para enganar usuários e equipes de TI.
Como o golpe funciona – clique único, caos total
O anexo chega compactado como Document.zip, mas lá dentro esconde-se um arquivo com nome duplo, do tipo Documento.doc.lnk. Graças à configuração padrão do Windows que oculta extensões conhecidas, a vítima vê apenas “Documento.doc” e sente-se segura para abrir. Ao clicar, o .lnk chama o cmd.exe, que por sua vez dispara um script em PowerShell responsável por baixar o Global Group, gravá-lo no disco (com um nome mascarado, como windrv.exe) e executá-lo.
Diferente de gangues mais sofisticadas que mantêm conversas com servidores de comando e controle, o Global Group trabalha em modo mudo: gera a chave de criptografia localmente e opera 100 % offline. Isso reduz rastros de rede e aumenta as chances de driblar antivírus que monitoram tráfego suspeito.
Vulnerabilidade já corrigida? Sim, mas o vetor continua atraente
A Microsoft tapou em 2024 a falha de atalho (CVE-2025-9491), mas a técnica segue viva porque não depende estritamente daquela brecha. Arquivos .lnk ainda são uma forma rápida e trivial de transformar um clique em execução de código — principalmente depois que macros do Office passaram a ser bloqueadas por padrão.
O que isso significa para usuários domésticos, gamers e pequenas empresas
Seja para quem monta um PC gamer de R$ 10 mil ou para o escritório que guarda contratos em um SSD externo, o impacto é o mesmo: downtime e perda de dados. Como o ransomware não precisa de internet, até máquinas em redes isoladas — servidores de jogos, estações de edição de vídeo ou PCs de PDV em lojas — podem ser sequestradas.
Proteção prática: checklist de segurança que cabe no bolso
1. Backup imutável: mantenha uma cópia offline em um HD externo ou NAS com snapshots. Modelos com botão físico de desligar a interface USB, à venda na Amazon, impedem que o ransomware alcance o disco.
2. Antivírus + EDR: Suites como Bitdefender ou Malwarebytes com módulo de comportamento detectam cadeias de execução suspeitas (cmd + PowerShell).
3. Bloqueio de PowerShell: use políticas de grupo para restringir scripts não assinados.
4. FIDO2/Windows Hello: chaves de hardware limitam uso de credenciais roubadas em movimento lateral.
5. Treino de phishing: simule campanhas trimestrais; mede-se não só quem clica, mas quem reporta o erro (PCRR).
Imagem: Howard Solom
Quem é o Global Group
Detectado pela primeira vez em junho de 2025, o Global Group é visto como rebranding dos grupos BlackLock e Mamona. Em seu primeiro mês, reivindicou 17 vítimas em diferentes setores e mantém um site de vazamento na rede Tor hospedado em VPS russo. Mesmo assim, especialistas não o consideram tão prolífico quanto nomes de “primeira divisão”, como LockBit.
Recomendações para equipes de TI
• Filtragem de e-mail com análise de anexos ZIP e dupla extensão.
• Segmentação de rede e privilégio mínimo, rotacionando credenciais periodicamente.
• Monitoramento de lotBins: cmd, PowerShell, WMI.
• Backup isolado e testes regulares de restauração.
• Pingue seu próprio parque: obstáculos simples (por exemplo, exigir senha para executar scripts) podem atrasar o atacante o bastante para o EDR reagir.
No fim das contas, a velha regra permanece: se algo chega por e-mail pedindo apenas um clique, desconfie. Um segundo gasto para confirmar a origem vale mais que horas tentando descriptografar dados críticos.
Com informações de Computerworld
