P á g i n a  1 | 35 

 

 

 

 

  

 

 

 

 

 

 

 

 

 

 
RALord: 

Novo grupo de Ransomware-as-a-Service 

TLP: CLEAR 



 

P á g i n a  2 | 35 

 

 
Acesse a nossa nova comunidade através do 
WhatsApp!  

Heimdall Security Research 

 

 
 

Acesse boletins diários sobre agentes de ameaças, 
malwares, indicadores de comprometimentos, TTPs e 
outras informações no site da ISH.  

 

Boletins de Segurança – Heimdall 
 

 

 

  

https://chat.whatsapp.com/FWmZxOon3PI0WB5e5LPFtT
https://ish.com.br/boletins-de-seguranca/


 

P á g i n a  3 | 35 

 

 

SUMÁRIO 

1 Sumário executivo ............................................................................................................... 6 

2 Estratégico ........................................................................................................................... 6 

2.1 Introdução sobre a nova ameaça ............................................................................. 6 

2.2 Segmento de mercado e Países afetados ............................................................... 6 

3 Tático .................................................................................................................................... 8 

3.1 Operação da ameaça ................................................................................................ 8 

3.2 Atividades e recrutamento de afiliados ................................................................... 8 

3.3 Modelo de negócio - RALord ................................................................................... 15 

4 Análise das capacidades do RALord ransomware ......................................................... 16 

4.1 Identificação de Linguagem Utilizada e Strings em Texto Puro ........................... 17 

4.2 Engenharia reversa do RALord Ransomware ........................................................ 18 

4.2.1 Diretório alvo da criptografia .............................................................................. 18 

4.2.2 Processo de configuração customizado de criptografia ................................. 19 

4.2.3 Lista de extensões de arquivos a serem criptografados .................................. 23 

4.2.4 Direcionamento de vítimas ou Bugs? ................................................................ 24 

5 Atribuição e similaridades ................................................................................................ 26 

6 MITRE ATT&CK – TTPs ........................................................................................................ 27 

7 Recomendações ................................................................................................................ 28 

8 Conclusão de pesquisa .................................................................................................... 30 

9 Operacional ....................................................................................................................... 31 

9.1.1 Engenharia de Detecção ..................................................................................... 31 

10 Malware Behavior Catalog (MBC) ............................................................................... 32 

11 Indicadores de Comprometimento ............................................................................ 33 

12 Referências ................................................................................................................... 34 

13 Autores .......................................................................................................................... 34 

 

 

  



 

P á g i n a  4 | 35 

 

 

 

 

LISTA DE TABELAS 
Tabela 1 - Extensões de arquivos para criptografar. ...................................................................... 23 

Tabela 2 - Amostras do Funksec que deram match com a assinatura criada por nossa equipe. .... 26 

Tabela 3 – Tabela MITRE ATT&CK. ................................................................................................. 27 

Tabela 4 – Tabela Malware Behavior Catalog. ............................................................................... 32 

Tabela 5 - Indicadores de Comprometimento do RALord Ransomware......................................... 33 

Tabela 6 - Data Leak Site Principal do RALord. .............................................................................. 33 

Tabela 7 - Backup I do Data Leak Site. .......................................................................................... 33 

Tabela 8 - Backup II do Data Leak Site. ......................................................................................... 33 

Tabela 9 - Método de comunicação com operadores do RALord................................................... 33 

 

  



 

P á g i n a  5 | 35 

 

 

 

 

LISTA DE FIGURAS 
Figura 1 – Segmentos afetados pelo RALord Ransomware. ............................................................. 6 

Figura 2 – Países  afetados pelo RALord Ransomware. ................................................................... 7 

Figura 3 – Atividades do RALoard desde seu surgimento. ................................................................ 8 

Figura 4 – Leak Site do RALord. ....................................................................................................... 9 

Figura 5 – Exemplo de vazamento no Leak Site do RALord. ........................................................... 10 

Figura 6 – Discurso de identidade do RALord. ............................................................................... 11 

Figura 7 - Guia de como se afiliar ao RALord. ................................................................................ 12 

Figura 8 - Métodos de contato com o grupo. ................................................................................. 13 

Figura 9 - Guia de compra de criptomoedas. ................................................................................ 14 

Figura 10 - Continuação do guia de compra de criptomoedas. ..................................................... 14 

Figura 11 - Modelo de execução de campanha do RALord. ........................................................... 15 

Figura 12 - Fluxo geral de execução do RALord. ............................................................................ 16 

Figura 13 - Identificação de tamanho e de linguagem de programação. ........................................ 17 

Figura 14 - Identificação de Strings em texto puro e de usuário de desenvolvimento. .................... 18 

Figura 15 - Identifica diretório atual do prompt. ............................................................................ 18 

Figura 16 - Identificação de arquivos do sistema. ......................................................................... 18 

Figura 17 - Chave inicial aleatória de 24-byte. ............................................................................... 19 

Figura 18 - Coleta de Hash BCrypt e conteúdo do README para Key Wrapping............................. 20 

Figura 19 - Chacha20 Quarter Round. ........................................................................................... 21 

Figura 20 - ChaCha20 RFC Quarter Round. ................................................................................... 22 

Figura 21 - Lista de extensões. ...................................................................................................... 23 

Figura 22 - Importação de APIs do VCRUNTIME140.dll. ................................................................ 24 

Figura 23 - Crash de execução por conta da dependência do VCRUNTIME140.dll. ....................... 24 

Figura 24 - Criptografia da própria Nota de Ransomware. ............................................................. 25 

Figura 25 - Match de padrão de código com amostras do Funksec Ransomware. ......................... 26 

 

 

 

 



 

P á g i n a  6 | 35 

 

1 SUMÁRIO EXECUTIVO 

Este relatório de segurança, desenvolvido pela equipe de inteligência do 
Purple Team da ISH Tecnologia, tem como objetivo proporcionar uma 
compreensão aprofundada e um dimensionamento preciso das ameaças 
cibernéticas identificadas. O documento está estruturado em três níveis de 
abordagem: Estratégico, Tático e Operacional, garantindo uma visão completa e 
integrada das ameaças e ações recomendadas. 

2 ESTRATÉGICO 

2.1 INTRODUÇÃO SOBRE A NOVA AMEAÇA 

O cenário de ransomware manteve-se ativo em 2024 e se estendeu para este 
ano de 2025, com diversos grupos realizando ataques a uma ampla gama de 
organizações, setores e com surgimento de novos grupos. Nesse contexto, um dos 
mais recentes temos o RALord. Pensando em trazer informações relevante sobre 
esta nova ameaça o time CTI-Purple Team da ISH tecnologia realizou uma análise 
detalhada do mesmo, as quais serão descritas logo abaixo.  

2.2 SEGMENTO DE MERCADO E PAÍSES AFETADOS 

Os segmentos de mercado e países potencialmente afetados por essa 
ameaça até o momento, incluem: 

 
Figura 1 – Segmentos afetados pelo RALord Ransomware. 



 

P á g i n a  7 | 35 

 

 
Figura 2 – Países  afetados pelo RALord Ransomware. 

O grupo emergiu recentemente, com seus primeiros incidentes reportados 
impactando os setores de Educação, Engenharia, Manufatura e Turismo, em países 
como França, Argentina e Brasil, entre outros. Uma característica distintiva é a 
abordagem mais "amigável" adotada em seu Data Leak Site (DLS), onde os setores 
das vítimas são explicitamente destacados — uma possível estratégia para 
aumentar a pressão sobre organizações semelhantes e ampliar o impacto da 
ameaça. 

Essa tática de exposição setorial está alinhada com práticas comuns entre 
grupos Ransomware-as-a-Service (RaaS), no contexto da dupla extorsão. As 
vítimas iniciais evidenciam não apenas a diversidade de setores-alvo, mas também 
a abrangência geográfica do grupo, com foco particular em países da América 
Latina. Embora ainda não seja possível determinar se a concentração de vítimas na 
LATAM é intencional ou apenas coincidente, o cenário serve como um importante 
alerta para a região no que diz respeito à evolução da ameaça. 

 

 

 

 

 

 

 

 



 

P á g i n a  8 | 35 

 

3 TÁTICO 

3.1 OPERAÇÃO DA AMEAÇA 

Abaixo é possível observar que as atividades do RALord foram de fato 
iniciadas ano em (Março de 2025), o que nos permite realizar um acompanhamento 
em tempo real, com o objetivo de identificar as tendências e as evoluções do grupo 
desde seu nascimento. 

 
Figura 3 – Atividades do RALoard desde seu surgimento. 

Os vetores de ataque priorizados pelo RALord incluem o direcionamento a 
produtos de segurança de rede como Fortinet, SonicWall e Cisco, possivelmente 
com a exploração de vulnerabilidades via Brute-ForcE e exploits de CVEs. Essa 
estratégia indica uma busca por meio de acessos iniciais comuns em 
infraestruturas corporativas, visando obter acesso inicial através de falhas de 
segurança em dispositivos perimetrais, serviços de autenticação e aplicações web 
vulneráveis. A infraestrutura online do RALord inclui Data Leak Sites acessíveis via 
domínios TOR, como é comum para todos os grupos de RaaS. O nome de usuário 
do administrador do grupo, "ForLord", o que é relevante para o rastreamento de 
suas atividades em diferentes plataformas e para a identificação de possíveis 
conexões com outros atores ou grupos. 

3.2 ATIVIDADES E RECRUTAMENTO DE AFILIADOS  

A atividade de recrutamento do grupo RALord foi identificada a partir de 19 
de março de 2025, em fóruns comumente utilizado por atores maliciosos. Um 
requisito técnico para afiliados é a capacidade de codificar o encryptor utilizando 
Python e Rust, indicando uma preferência por linguagens que oferecem 
versatilidade (Python) e potencial para otimização de performance e evasão (Rust). 
Essa exigência sugere um grupo com um certo nível de sofisticação técnica ou a 
ambição de desenvolver ferramentas robustas e multiplataforma.  Um ponto 
intrigante é a possível ligação do RALord com o grupo RA World, por conta da 
semelhança do nome, e porque recentemente o RA World encerrou suas 
atividades. O RA World utilizava o serviço Go File Storage para hospedar amostras 
de malware, e uma amostra do RA World apresentou uma correspondência de 
código de 25% com o ransomware FunkSec, que também se encontra offline. Essa 
correlação sugere uma possível reutilização de código, compartilhamento de 



 

P á g i n a  9 | 35 

 

recursos ou até mesmo uma reestruturação de grupos, onde indivíduos ou partes 
de um grupo anterior ressurgem sob uma nova identidade. 

Como descrito no próprio DLS o RALord segue o modelo já consolidade de 
RaaS, uma abordagem permite que afiliados possam utilizar-se de sua 
infraestrutura e malwares. Abaixo, podemos observar o Data Leak Site do RALord, 
no qual expõe as vítimas infectadas durante suas operações, e onde é efetivado o 
ato de dupla extorsão. 

 
Figura 4 – Leak Site do RALord. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

P á g i n a  10 | 35 

 

No DLS contém um contador regressivo de tempo, que aplica uma sensação 
de urgência para as vítimas, indicando que o grupo não contém apenas os dados já 
vazados, mas na verdade, contém muito mais que poderá ser integralmente 
publicado se a vítima não efetuar o pagamento. 

 
Figura 5 – Exemplo de vazamento no Leak Site do RALord. 

  



 

P á g i n a  11 | 35 

 

Apesar dos crimes cometidos pelo grupo RALord e seus afiliados, o grupo se 
autodenomina como Bug Bounties (escreveram erroneamente ‘BugBountys’, o 
que pode indicar que inglês de fato não é sua língua materna), e apesar da péssima 
habilidade em escrita, o grupo define uma posição ofensiva em relação à 
Pesquisadores e Jornalistas, além de atacar fabricantes de Softwares de Proteção 
a Endpoints, informando que eles não podem ajudar suas vítimas. Em seu discurso, 
eles também informam que não são novos no mercado de RaaS, o que nos permite 
afirmar a suposta ligação deste novo grupo, com os citados anteriormente. 

 
Figura 6 – Discurso de identidade do RALord. 

  



 

P á g i n a  12 | 35 

 

No DLS também há um guia de como se afiliar ao grupo, de como a operação 
será conduzida, e de como o dinheiro será divido. É interessante notar, que o 
RALord é quem trás para si a responsabilidade de efetuar o ataque a partir do 
momento em que o Afiliado tem acesso à rede interna da vítima em potencial. 

 

Figura 7 - Guia de como se afiliar ao RALord. 



 

P á g i n a  13 | 35 

 

 

 

Também possível observar os métodos de contatos, que são do mesmo 
padrão através de chat qTOX. 

 

Figura 8 - Métodos de contato com o grupo. 

  



 

P á g i n a  14 | 35 

 

No DLS do RALord, também há uma seção de Guia de Compras de 
Criptomoedas. 

 

Figura 9 - Guia de compra de criptomoedas. 

 

Figura 10 - Continuação do guia de compra de criptomoedas. 

 



 

P á g i n a  15 | 35 

 

3.3 MODELO DE NEGÓCIO - RALORD 

Como na seção anterior, o modelo RaaS é mantido pelo RALord, mas com 
uma ênfase no fato de quem irá conduzir a implantação do Ransomware nos 
sistemas das vítimas, sendo os próprios operadores do Grupo RALord. 

Isso nos permite supor que o grupo de fato está interessado em que a 
campanha seja executada da forma correta, e que os afiliados não tenham o 
controle sobre as amostras do Ransomware e de outras possíveis toolkits. Apesar 
de ser uma tática interessante, isso nos permitirá (se de fato este planejamento 
prosseguir) observar uma Kill Chain sólida dos operadores ao decorrer que os 
incidentes forem acontecendo. 

 

Figura 11 - Modelo de execução de campanha do RALord. 

  



 

P á g i n a  16 | 35 

 

4 ANÁLISE DAS CAPACIDADES DO RALORD RANSOMWARE 

Nesta seção iremos nos aprofundar nas principais características 
do RALord ransomware, o que e como ele implementa determinada capacidade, 
com o objetivo de obter inteligência deste novo ransomware, a fim de que 
possamos ter uma rastreabilidade de sua evolução, ao longo do tempo. Abaixo, 
podemos observar o seu fluxo macro da execução. 

 

Figura 12 - Fluxo geral de execução do RALord. 

 

  



 

P á g i n a  17 | 35 

 

4.1 IDENTIFICAÇÃO DE LINGUAGEM UTILIZADA E STRINGS EM TEXTO PURO 

Nos últimos anos, tem havido um aumento notável na criação de malware 
utilizando linguagens de programação modernas como Rust, Golang e Nim . Dentre 
estas, o Rust tem ganhado particular atenção por parte de desenvolvedores de 
ransomware devido à dificuldade adicional que impõe à engenharia reversa, pelo 
fato da maioria dos malwares serem desenvolvidos em C/C++ ou .NET. 

Como já citado neste relatório, este é o caso do novo ransomware RALord, 
que é desenvolvido em Rust, como é possível observar pelo grande tamanho do 
binário na imagem abaixo. 

 

Figura 13 - Identificação de tamanho e de linguagem de programação. 

Durante nossa análise não foi identificado qualquer tentativa de ofuscar as 
strings do RALord ransomware, o que nos permite identificar facilmente a nota de 
ransomware, e o ‘nome do usuário’ que desenvolveu esta amostra. 



 

P á g i n a  18 | 35 

 

 

Figura 14 - Identificação de Strings em texto puro e de usuário de desenvolvimento. 

4.2 ENGENHARIA REVERSA DO RALORD RANSOMWARE 

Apesar do RALord não implementar nenhuma capacidade além da 
criptografia dos arquivos e escrita do arquivo README no sistema, identificamos 
métodos customizados no processo de criptografia, além de um comportamento 
não comum e possíveis alvos (ou simplesmente um bug). 

4.2.1 Diretório alvo da criptografia 

Diferentemente dos demais ransomwares, o RALord não criptografa todo o 
disco raiz por padrão, em contrapartida, criptografa de maneira recursiva apenas o 
diretório no qual o operador se encontra no momento da execução do ransomware. 
Portanto, se o prompt de comando do operador, estiver no Desktop do usuário 
atual, o RALord irá criptografar de maneira recursiva o diretório de Desktop. 

Essa capacidade é implementada através da implementação de uma 
função que coleta o caminho completo do diretório atual. 

 

Figura 15 - Identifica diretório atual do prompt. 

Após coletar o diretório atual, o ransomware passa a coletar o nome de cada 
arquivo existente no diretório retornado anteriormente. 

 

Figura 16 - Identificação de arquivos do sistema. 

  



 

P á g i n a  19 | 35 

 

4.2.2 Processo de configuração customizado de criptografia  

Diferentemente de outros ransomwares que utilizam winAPIs em todo o 
processo de criptografia, ou, que utilizam uma combinação de winAPIs em 
conjunto com uma implementação manual de um algoritmo de criptografia 
conhecido, o RALord ransomware emprega o seguinte esquema híbrido robusto: 

• Geração de uma chave simétrica forte aleatoriamente, utilizando a winAPI 
BCryptGenRandom. 

• Proteção dessa chave usando um algoritmo customizado, que recebe como 
entrada uma constante diferente para cada campanha (através de uma 
constante hash bcrypt), provavelmente com o objetivo de implementar um 
key wrapping. 

• Por fim implementa o algoritmo XChaCha20-Poly1305 para criptografar os 
arquivos, garantindo nonces únicos para cada um. 

Abaixo, podemos observar a primeira fase do processo de criptografia, que 
é a geração da chave inicial, na qual será aplicado o key wrapping para proteger a 
chave. 

 

Figura 17 - Chave inicial aleatória de 24-byte. 

  

https://learn.microsoft.com/pt-br/windows/win32/api/bcrypt/nf-bcrypt-bcryptgenrandom


 

P á g i n a  20 | 35 

 

Em sequência, o ransomware implementa uma função que que recebe uma 
hash bcrypt, provavelmente única para cada campanha do RALord, em união com 
determinado conteúdo parcial do README, para a execução do Key Wrapping, 
através de um algoritmo customizado. 

 

Figura 18 - Coleta de Hash BCrypt e conteúdo do README para Key Wrapping. 

Este algoritmo recebe como argumento o ponteiro da constante hash 
bcrypt identificada como: 

$2y$10$ZCqfeVGE6e8Zi6dTW0pHcu7IVOyF3k.yi/GSyH3y8e PaBWNlLa9pG, que é 
utilizada juntamente com o conteúdo parcial do README no processo de Key 
Wrapping da chave assimétrica aleatória criada anteriormente, para a campanha 
referente a esta amostra, através de um algoritmo customizado. Abaixo podemos 
observar, o fluxo do código de execução do key wrapping. 

Após a configuração do processo de criptografia, o ransomware de fato 
implementa o algoritmo XChaCha20-Poly1305, através da importação de 
bibliotecas do Rust identificadas facilmente através do Disassembler, ou por 
ferramentas simples como strings.exe, pelo fato das strings estarem em texto puro. 

Porém, um dos indicadores que adiciona precisão adicional à detecção das 
strings em texto puro, é a identificação da implementação da função de geração 
dos Blocos Keystream, que contém a implementação do Quarter Round  Rotate Left 
de 32-bits (ROTL32) que contém as constantes características desta fase de 
configuração do ChaCha20, que são: 

• Primeiro round implementando um ROTL32 de 16; 
• Segundo round implementando um ROTL32 de 12; 
• Terceiro round implementando um ROTL32 de 8; 
• Quarto round implementando um ROTL32 de 7. 

 

 

 



 

P á g i n a  21 | 35 

 

Abaixo podemos observar esta implementação no código do RALord. 

 

Figura 19 - Chacha20 Quarter Round. 

 

Logo mais, podemos observar a RFC do ChaCha20, que nos permite 
estabelecer uma precisão em nossa afirmação, referente ao uso deste algoritmo 
de criptografia. Através da identificação da geração dos Blocos de Keystream 
através de um Quarter Round. 

https://www.rfc-editor.org/rfc/rfc7539.html


 

P á g i n a  22 | 35 

 

 

Figura 20 - ChaCha20 RFC Quarter Round. 

Esta correlação entre o código encontrado no RALord e a RFC, nos permite 
dar uma maior precisão a informação de que este ransomware utiliza o algoritmo 
ChaCha20 para a criptografia de arquivos.  

  



 

P á g i n a  23 | 35 

 

4.2.3 Lista de extensões de arquivos a serem criptografados 

O RALord implementa uma lista hardcoded de extensões de arquivos a 
serem criptografados, conforme podemos observar de maneira parcial, na imagem 
abaixo. 

 

Figura 21 - Lista de extensões. 

Abaixo, podemos observar todas as extensões que serão criptografadas 
durante a execução do ransomware. 

Extensões de Arquivos para Criptografar 

txt, csv, docx, xlsx, pdf, json, xml, sql, log, html, css, js, php, py, java, c, cpp, sh, 
bat, ini, yaml, md, rtf, ts, jsx, tsx, pptx, odt, ods, odp, msg, eml, apk, ipa, exe, dll, 

dmg, iso, vmdk, vhd, tgz, 7z, zip, tar, rar, bak, db, mdb, sqlite, hdf5, parquet, avro, 
etl, pfx, cer, pem, csr, key, pgp, kdbx, gpg, tar.gz, xz, dbf, tiff, raw, ai, psd, indd, 
eps, svg, dwg, dxf, fla, flv, mov, mp4, avi, mkv, mp3, wav, flac, aac, ogg, wma, 

webm, m3u, cue, midi, ps, tex, bib, chm, epub, azw3, fb2, djvu, opf, xps, jar, war, 
ear, pdb, msi, deb, rpm, vcs, git, svn, nfs, bin, bkp, lst, dat, png 

Tabela 1 - Extensões de arquivos para criptografar. 



 

P á g i n a  24 | 35 

 

4.2.4 Direcionamento de vítimas ou Bugs? 

Durante a análise foi identificada algumas características, que implicam na 
necessidade de um ambiente específico. Me refiro a presença de importações de 
APIs da DLL VCRUNTIME140.DLL, que causam crash na execução do ransomware, 
caso o sistema da vítima não tenha os pacotes necessários do Microsoft Visual C++ 
Redistributable, que normalmente está instalado em ambientes que contém um 
ambiente de desenvolvimento, ou que contém softwares legados que necessitam 
destas bibliotecas para o seu bom funcionamento. 

 

Figura 22 - Importação de APIs do VCRUNTIME140.dll. 

Ao tentar executar o RALord em um dispositivo Windows 10 padrão, a sua 
execução apresentou um crash, informando que não foi possível encontrar no 
sistema o VCRUNTIME140.DLL. 

 

Figura 23 - Crash de execução por conta da dependência do VCRUNTIME140.dll. 

Esta dependência pode ser facilmente resolvida, através de uma simples 
configuração no IDE do Visual Studio. Isso pode nos indicar o direcionamento para 
o tipo de vítima que o RALord direciona suas campanhas, ou, uma desatenção 
durante a compilação do ransomware. 

  



 

P á g i n a  25 | 35 

 

Outro bug interessante, é a presença da extensão txt na lista de extensões 
de arquivos a serem criptografados, causando a criptografia da própria Nota de 
Ransomware. Apesar da extensão dos arquivos criptografados deixarem claro por 
qual ransomware o seu sistema foi infectado, se o objetivo era deixar a Nota de 
Ransomware não acessível à vítima, bastava não criar ela no sistema. Isso nos dá 
mais certeza, de que foi mais uma desatenção durante o processo de 
desenvolvimento do ransomware. 

 

Figura 24 - Criptografia da própria Nota de Ransomware. 

 

  



 

P á g i n a  26 | 35 

 

5 ATRIBUIÇÃO E SIMILARIDADES 

Durante o processo de validação da regra de detecção produzida com a 
inteligência coletada através desta pesquisa, fomos capazes de identificar que os 
padrões de código do RALord em conjunto com determinadas strings, deram 
match com amostras recentes do Funksec. São eles: 

• Padrão de Código do Algoritmo de Key Wrapping; 
• Padrão de Código do Algoritmo de Quarter Round do ChaCha20; 
• Strings referentes à linguagem de programação Rust; 
• E etc. 

Abaixo, podemos observar o match com duas amostras coletadas. 

 

Figura 25 - Match de padrão de código com amostras do Funksec Ransomware. 

E a seguir podemos observar uma lista de amostras das últimas 12 
semanas, que deram match com os padrões descritos na regra Yara. 

Hashes de artefatos similares ao RALord  
Funksec c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c 
Funksec 89b9f7499d59d0d308f5ad02cd6fddd55b368190c37f6c5413c4cfcd343eeff3 
Funksec e622f3b743c7fc0a011b07a2e656aa2b5e50a4876721bcf1f405d582ca4cda22      
Funksec 00acf5d0db7ef50140dae7a3482d9db80704ec98670bd1607e76c99382a4888c 
Funksec dd15ce869aa79884753e3baad19b0437075202be86268b84f3ec2303e1ecd966 
Funksec 20ed21bfdb7aa970b12e7368eba8e26a711752f1cc5416b6fd6629d0e2a44e5d 
Funksec dcf536edd67a98868759f4e72bcbd1f4404c70048a2a3257e77d8af06cb036ac 
Funksec 5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd 

Tabela 2 - Amostras do Funksec que deram match com a assinatura criada por nossa equipe. 

Isto nos permite compreender, que os grupos Funksec e RALord 
implementaram as mesmas capacidades de criptografia, além da escolha do Rust 
como linguagem de desenvolvimento do Ransomware, o que nos permite supor 
uma certa colaboração entre os grupos, principalmente porque o Rust não é uma 
linguagem muito comum no desenvolvimento de malware. 

  

https://www.virustotal.com/gui/file/c233aec7917cf34294c19dd60ff79a6e0fac5ed6f0cb57af98013c08201a7a1c
https://www.virustotal.com/gui/file/89b9f7499d59d0d308f5ad02cd6fddd55b368190c37f6c5413c4cfcd343eeff3
https://www.virustotal.com/gui/file/e622f3b743c7fc0a011b07a2e656aa2b5e50a4876721bcf1f405d582ca4cda22
https://www.virustotal.com/gui/file/00acf5d0db7ef50140dae7a3482d9db80704ec98670bd1607e76c99382a4888c
https://www.virustotal.com/gui/file/dd15ce869aa79884753e3baad19b0437075202be86268b84f3ec2303e1ecd966
https://www.virustotal.com/gui/file/20ed21bfdb7aa970b12e7368eba8e26a711752f1cc5416b6fd6629d0e2a44e5d
https://www.virustotal.com/gui/file/dcf536edd67a98868759f4e72bcbd1f4404c70048a2a3257e77d8af06cb036ac
https://www.virustotal.com/gui/file/5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd


 

P á g i n a  27 | 35 

 

6 MITRE ATT&CK – TTPS 

Este tópico apresenta as Táticas, Técnicas e Procedimentos (TTPs) 
identificados nesta ameaça, conforme o framework MITRE ATT&CK, oferecendo 
uma visão tática detalhada sobre o comportamento do adversário. O objetivo é 
permitir o mapeamento das técnicas utilizadas pelos atacantes, facilitando a 
implementação de contramedidas eficazes e o aprimoramento das defesas de 
segurança. 

Tática Técnica Detalhes 

Discovery 
T1083 

File and Directory 
Discovery 

O RALord Ransomware implementa 
um loop por meio de WinAPIs, que 

realiza o processo de coleta de cada 
arquivo de maneira recursiva no 

diretório atual, para realizar o 
processo de criptografia. 

O RALord coleta a informações, de 
qual é o diretório atual do prompt no 

qual foi executado, para que todas as 
funcionalidades do RALord sejam 

apenas aplicadas à aquele diretório. 

Impact 
T1486 

Data Encrypted for Impact 

O RALord Ransomware implementa o 
ChaCha20 como algoritmo, com o 

objetivo de criptografar todos os 
arquivos do sistema, a fim de solicitar 
um regaste, para a recuperação dos 

arquivos. 
Tabela 3 – Tabela MITRE ATT&CK. 

 

 

 

 

 

 

 

 

 

 

 

https://attack.mitre.org/


 

P á g i n a  28 | 35 

 

7 RECOMENDAÇÕES 

 Além dos indicadores de comprometimento elencados abaixo pela ISH, 
poderão ser adotadas medidas visando a mitigação da infecção do referido 
malware, como por exemplo:  

Mantenha sistemas e softwares atualizados 

• Garanta que todos os sistemas operacionais, aplicativos e softwares de 
segurança estejam atualizados com os patches mais recentes. Isso corrige 
vulnerabilidades que podem ser exploradas por atacantes.  

Implemente soluções de segurança confiáveis 

• Utilize ferramentas de segurança robustas, como antivírus e firewalls, para 
detectar e bloquear ameaças potenciais.  

Realize backups regulares 

• Mantenha backups atualizados e armazenados em locais seguros, 
preferencialmente offline ou em ambientes isolados, para garantir a 
recuperação de dados sem necessidade de pagar resgates.  

Eduque e treine funcionários 

• Promova treinamentos regulares sobre segurança cibernética para que os 
colaboradores reconheçam e evitem e-mails de phishing e outras tentativas 
de ataque.  

Restrinja privilégios de acesso 

• Adote o princípio do menor privilégio, garantindo que usuários tenham 
apenas as permissões necessárias para suas funções, limitando o potencial 
de movimentação lateral de atacantes na rede.  

Monitore e analise atividades da rede 

• Implemente ferramentas de monitoramento para identificar atividades 
suspeitas ou não autorizadas, permitindo respostas rápidas a possíveis 
incidentes.  

Desenvolva um plano de resposta a incidentes 

• Estabeleça e teste regularmente um plano de resposta a incidentes 
específico para ataques de ransomware, assegurando que sua equipe saiba 
como agir rapidamente para conter ameaças e restaurar operações.  

 

 

 



 

P á g i n a  29 | 35 

 

Utilize autenticação Multifator (MFA) 

• Implemente MFA para adicionar uma camada extra de segurança, 
dificultando o acesso não autorizado, mesmo que credenciais sejam 
comprometidas.  

Desative serviços e protocolos não utilizados 

• Reduza a superfície de ataque desativando serviços e protocolos 
desnecessários que podem ser explorados por cibercriminosos.  

Realize avaliações de vulnerabilidades 

• Conduza avaliações regulares para identificar e corrigir pontos fracos em 
sua infraestrutura de TI antes que sejam explorados.  

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

P á g i n a  30 | 35 

 

8 CONCLUSÃO DE PESQUISA 

Ao finalizarmos a análise desta primeira versão do RALord, nós fomos 
capazes de perceber que com o objetivo de otimizar tempo, o grupo escolheu uma 
linguagem de programação moderna e de alto nível, com o propósito de agilizar o 
início das operações. Isso se reflete em bugs no funcionamento do ransomware. O 
grupo se dedicou em implementar uma forma segura de criptografia, mas, com 
algumas falhas em sua execução, como no processo de criptografia de arquivos 
que resulta na criptografia da própria Nota de Ransomware. 

Através da produção de inteligência, fomos capazes de identificar 
similaridades de código entre o RALord e o Funksec ransomware, o que nos permite 
fazer algumas suposições: 

• Uma possível colaboração entre grupos, como já houve no passado. 
• Reutilização de código entre um mesmo desenvolvedor com especialidade 

em Rust. 
• Com o objetivo de otimizar o tempo para o início das operações do grupo, o 

RALord decidiu  implementar as mesmas capacidades de criptografia do 
Funksec. 

A equipe de pesquisa Heimdall da ISH Tecnologia, continuará monitorando 
a evolução deste grupo ao longo do tempo, com o objetivo de rastrear suas 
atividades e trazer visibilidade e poder de detecção para nossos clientes! 

 

 

 

 

 

 

 

 

 



 

P á g i n a  31 | 35 

 

9 OPERACIONAL 

9.1.1 Engenharia de Detecção 

Tendo compreendido as principais capacidades do RALord Ransomware, 
fomos capazes de construir uma regra Yara, com o propósito de detectarmos a 
presença das amostras, e para monitorarmos a evolução do RALord Ransomware 
ao longo do tempo. 

rule mal_ralordv1_win_ap25 { 

    meta: 

        description = "Detecta amostras da v1 do RALord 

Ransowmare." 

        author = "Ícaro César" 

        date = "2025-04-01" 

        score = 100 

        md5 = "BE15F62D14D1CBE2AECCE8396F4C6289" 

        malpedia_family = "win.ralord" 

    strings: 

        $code_pattern_quarterround = { 4? 31 ?? 48 8b ?? ?? ?? 4? 

31 ?? 48 8b ?? ?? ?? 31 e8 4? 31 ?? 41 c1 ?? 0c c1 ?? 0c c1 ?? 0c 

48 89 c2 c1 ?? 0c } 

        $code_pattern_custom_alg = { 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? 

?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? ?? 0f 57 ?? 0f 10 ?? c5 ?? ?? ?? 

?? 0f 57 ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 0f 11 

?? c5 ?? ?? ?? ?? 0f 11 ?? c5 ?? ?? ?? ?? 48 83 c0 08 48 3d 8? } 

        $ralord_str_I = "chacha" wide ascii 

        $ralord_str_II = "scorp" wide ascii 

        $ralord_str_III = "RALord" wide ascii 

        $ralord_str_IV = "onion" wide ascii 

        $ralord_str_V = "/rust" wide ascii 

        $ralord_str_VI = "BCryptGenRandom" wide ascii 

    condition: 

        uint16(0) == 0x5a4d and 

        all of ($code_pattern_*) and 

        4 of ($ralord_str_*) 

}  



 

P á g i n a  32 | 35 

 

10  MALWARE BEHAVIOR CATALOG (MBC) 

Com o objetivo de documentar o comportamento evolutivo do RALord 
Ransomware, através do Malware Behavior Catalog (MBC), segue abaixo uma 
tabela de referência das técnicas identificadas durante nossa análise. 

Tática Técnica Detalhes 

Discovery File and Directory Discovery 

O RALord Ransomware implementa um 
loop por meio de WinAPIs, que realiza o 
processo de coleta de cada arquivo de 
maneira recursiva no no diretório atual, 
para realizar o processo de criptografia. 
O RALord coleta a informações, de qual 
é o diretório atual do prompt no qual foi 

executado, para que todas as 
funcionalidades do RALord sejam 

apenas aplicadas à aquele diretório. 

File System Create/Write/Delete File 

Pela característica de Ransomware, o 
RALord implementa diversos loops, no 
qual ele cria as Notas de Ransomware, 

Criptografa os Arquivos, e altera a 
extensão para .RALord. 

Process Create Thread 

Para que não a amostra fique ocupada 
com apenas uma atividade, o RALord 

implementa Threads que executam 
atividades de criptografia. 

Impact Data Encrypted for Impact 
Por sua natureza, o RALord criptografa 

os dados para pedir resgate 
posteriormente. 

Tabela 4 – Tabela Malware Behavior Catalog. 

 

  



 

P á g i n a  33 | 35 

 

11  INDICADORES DE COMPROMETIMENTO 

A ISH Tecnologia realiza o tratamento de diversos indicadores de 
compromissos coletados por meio de fontes abertas, fechadas e também de 
análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo 
listamos todos os Indicadores de Comprometimento (IoCs) relacionadas a análise 
do(s) artefato(s) deste relatório.  

Indicadores do artefato  
md5: be15f62d14d1cbe2aecce8396f4c6289 
sha1: e9cced71d31937d75edac3fceee1d21e46cd5351 
sha256: 456b9adaabae9f3dce2207aa71410987f0a571cd8c11f2e7b41468501a863606 
File name: RaLord-0xb.exe 

Tabela 5 - Indicadores de Comprometimento do RALord Ransomware. 

 

Indicadores de URL, IPs e Domínios 

Indicadores do artefato  
TOR Link: ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd[.]onion 
Tipo: Data Leak Site 
Descrição: Site de Vazamento de Dados do RALord 

Tabela 6 - Data Leak Site Principal do RALord. 

 
TOR Link: ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd[.]onion 
Tipo: Data Leak Site 
Descrição: Site de Vazamento de Dados do RALord 

Tabela 7 - Backup I do Data Leak Site. 

Indicadores do artefato  
TOR Link: ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj2laiuuid[.]onion 
Tipo: Data Leak Site 
Descrição: Site de Vazamento de Dados do RALord 

Tabela 8 - Backup II do Data Leak Site. 

Indicadores do artefato  
qTOX Chat: 8E9A6195A769FE7115F087C61D75CF32874C339B3AB0947D07480C9A8A12D

A5009151BE6A51F 
0C8E5B45C57AE244E9C904C5BC74F73306937469D9CEA22541CA69AC162B
8D42A20F4C0382AC 

Sessão 054f55ec93aca9bac362b9d91eff36a7ce451e7caba47c0b2e004ba429f9529c7
9 

Tipo: Chat via TOX 
Descrição: Chat exclusivo com os operadores do RALord 

Tabela 9 - Método de comunicação com operadores do RALord. 

  



 

P á g i n a  34 | 35 

 

12  REFERÊNCIAS 

• Heimdall by ISH Tecnologia 
• Purple Team by ISH Tecnologia 
• MITRE ATT&CK 
• Ransomware.live 

13  AUTORES 

• Ícaro César – Malware Researcher 
• Ismael Rocha – Threat Intelligence Specialist 

  

https://attack.mitre.org/
https://www.ransomware.live/


 

P á g i n a  35 | 35