Drivers vulneráveis viram arma em golpes de ransomware
Por Felipe Demartini • Editado por Claudio Yuge |
O uso de drivers vulneráveis introduzidos em sistemas pelos próprios cibercriminosos, como forma de abrir portas de entrada nos sistemas das vítimas, foi detectado novamente. Agora é a vez da conhecida gangue de ransomware BlackByte, que foi identificada como responsável por golpes de sequestro digital que envolvem a implantação de um driver da fabricante MSI para desativar sistemas de segurança nas redes comprometidas.
- Os 5 métodos de ataque cibernético em que você precisa ficar de olho
- Microsoft Exchange mitiga falha, mas bandidos continuam atacando brechas
O driver em questão é o MSI Afterburner RTCore64.sys, ligado a um software de overclocking da marca. Ele está sendo utilizado pela quadrilha para permitir a execução remota de códigos a partir da CVE-2019-16098, uma brecha de alta severidade; a partir dela, os bandidos são capazes de desativar drivers e recursos de dezenas de soluções de proteção e monitoramento, permitindo que a implantação do ransomware aconteça sem que seja detectada.
Trata-se de um golpe do tipo “Bring Your Own Driver”, ou “traga seu próprio driver” em inglês, em alusão ao termo que fala sobre funcionários levarem dispositivos pessoais ao trabalho. O caso da BlackByte é semelhante ao do grupo cibercriminoso Lazarus, que foi identificado como autor de um golpe semelhante, usando um driver da Dell para fins de espionagem; em ambos, a ideia é inserir o software por meio de um golpe de phishing ou outros meios, para que a exploração possa acontecer a partir dele.
De acordo com a empresa de cibersegurança Sophos, que revelou a ação, o driver da MSI permite que os criminosos injetem códigos diretamente no kernel da memória, sem que explorações adicionais sejam necessárias. Trata-se de uma violação das políticas de segurança da Microsoft, que já foi oficialmente corrigida, enquanto a versão do software usada pela BlackByte nos ataques é mais antiga.
Por meio da vulnerabilidade, então, notificações e execuções relacionadas aos processos de ferramentas de segurança são desativados, com a Sophos falando em mais de 1.000 drivers de diferentes aplicações sendo suscetíveis à exploração, incluindo nomes como Avast, Comodo e Sandboxie, entre tantas outras. Os especialistas também afirmam que o ataque também pode ser usado para interromper o funcionamento de plataformas de análise e monitoramento, abrindo espaço para a implementação de ransomware e outros malwares nos sistemas.
Como medida de proteção, a principal recomendação é o uso de soluções de monitoramento de instalação de drivers, com qualquer elemento adicional sendo analisado antes de permissões serem concedidas. Além disso, no caso deste ataque específico, a Sophos também recomenda a inclusão do driver da MSI em uma lista de bloqueios, de forma que a exploração não seja possível na rede.
Fonte: Sophos