Criminosos usam driver velho e vulnerável da Intel em ataques contra empresas

Um driver de rede da fabricante Intel está sendo usado como acessório de ataque por uma quadrilha cibercriminosa, que usa o arquivo para obter acesso a redes corporativas e executar códigos remotamente. O bando, conhecido como Scattered Spider, usa a técnica como parte de uma cadeia de comprometimento contra sistemas Windows de alvos escolhidos a dedo.

• Quatro medidas urgentes para aumentar a segurança de sua empresa
• Os 5 métodos de ataque cibernético em que você precisa ficar de olho

A tática é conhecida como BYOVD, ou “traga seu próprio driver vulnerável”, na sigla em inglês, em referência à ideia corporativa de os usuários levarem seus próprios dispositivos ao trabalho. Neste caso, os golpes que normalmente começam com phishing e engenharia social resultam na instalação do driver malicioso como se fosse um documento ou software legítimo, abrindo as portas para explorações que normalmente começam com a desativação de softwares de segurança.

Neste caso específico, o driver usado se refere a diagnóstico de conexões Ethernet em computadores com placas Intel; como tal, ela tem acesso ao kernel do sistema operacional, uma via de entrada valiosa para os cibercriminosos, que podem executar códigos maliciosos com os privilégios mais altos. A ideia é firmar uma porta de entrada nos sistemas corporativos que, depois, pode ser vendida aos interessados em realizar ataques de ransomware, roubo de dados e outras operações.

Enquanto o driver utilizado teve correção liberada pela Intel em 2015, sua instalação direta ainda permite a implementação de versões antigas. Além disso, o Scattered Spider também assina o recurso com certificados roubados de empresas como Nvidia e Global Software, aumentando ainda mais a furtividade e evitando que o próprio Windows exiba alertas aos usuários, por acreditar se tratar da execução de um elemento legítimo.

Focos específicos, também, aparecem nos sistemas de segurança desativados, com os ataques mostrando preferência pelo desligamento de plataformas de proteção de endpoints da Microsoft, Palo Alto Networks e SentinelOne. Eles são desligados, mas na interface de usuário, ícones e processos seguem aparecendo, dando a entender que seguem ativos enquanto são impedidos de proteger o dispositivo.

De acordo com a Crowdstrike, responsável por detalhar o funcionamento dos ataques, se trata de mais um entre tantos golpes desferidos pela mesma quadrilha, que tem diferentes vias de ataque em andamento ao mesmo tempo, todas envolvendo alvos direcionados, mas drivers e métodos diferentes. Enquanto o volume de ataques é baixo, devido à escolha cuidadosa de alvos, esse é um risco sobre o qual as corporações precisam permanecer alertas.

Uma medida direta é a atualização do Windows 10 para a versão mais recente; a Microsoft inseriu um sistema de bloqueio na execução de drivers em setembro do ano passado, que pode mitigar o problema em partes. Entretanto, novas vias de exploração podem cair fora da lista fornecida pela desenvolvedora, que só é atualizada a cada nova versão do sistema operacional.

Outras mitigações envolvem o uso de sistemas avançados de proteção que sejam capazes de detectar a atividade de ataques BYOVD, além de recursos do próprio Windows que protegem a integridade do kernel. O monitoramento de tráfego e ações executadas nos computadores, principalmente com privilégio de administrador, também ajudam a detectar golpes em andamento.

Fonte: Crowdstrike