Uma falha de segurança permitiu que uma gangue de ransomware impedisse efetivamente que programas antivírus fossem executados corretamente em um sistema.
Conforme relatado pela Bleeping Computer, o grupo de ransomware BlackByte está utilizando um método recém-descoberto relacionado ao driver RTCore64.sys para contornar mais de 1.000 drivers legítimos.
Os programas de segurança que dependem desses drivers são, portanto, incapazes de detectar uma violação, com a própria técnica sendo rotulada como “Traga seu próprio driver” pelos pesquisadores.
Uma vez que os drivers foram desligados pelos hackers, eles podem operar sob o radar devido à falta de detecção e resposta de múltiplos terminais (EDR). Os drivers vulneráveis são capazes de passar por uma inspeção por meio de um certificado válido e também possuem altos privilégios no próprio PC.
Pesquisadores da empresa de segurança cibernética Sophos detalham como o driver gráfico MSI visado pela gangue do ransomware oferece códigos de controle de E/S que podem ser acessados por meio de processos no modo de usuário. No entanto, esse elemento viola as diretrizes de segurança da Microsoft sobre acesso à memória do kernel.
Devido à exploração, os agentes de ameaças podem ler, escrever ou executar livremente código na memória do kernel de um sistema.
A BlackByte está naturalmente interessada em evitar ser detectada para não ter seus hacks analisados pelos pesquisadores, afirmou a Sophos – a empresa apontou para invasores que procuram por depuradores em execução no sistema e depois desistem.
Além disso, o malware do grupo verifica o sistema em busca de possíveis DLLs conectadas ao Avast, Sandboxie, Windows DbgHelp Library e Comodo Internet Security. Caso algum seja encontrado pela pesquisa, o BlackByte desativa sua capacidade de funcionar.
Devido à natureza sofisticada da técnica usada pelos agentes de ameaças, a Sophos alertou que eles continuarão a explorar drivers legítimos para contornar produtos de segurança. Anteriormente, o método “Bring Your Own Driver” foi visto sendo usado pelo grupo de hackers norte-coreano Lazarus, que envolvia um driver de hardware da Dell.
Bleeping Computer destaca como os administradores de sistema podem proteger seus PCs colocando o driver MSI (RTCore64.sys) que está sendo direcionado em uma lista de bloqueio ativa.
Os esforços de ransomware da BlackByte vieram à tona em 2021, com o FBI enfatizando que o grupo de hackers estava por trás de certos ataques cibernéticos ao governo.
Recomendações dos editores