🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores de ameaças associados às operações de ransomware Qilin e Warlock foram observados usando a técnica traga seu próprio driver vulnerável (BYOVD) para silenciar ferramentas de segurança executadas em hosts comprometidos, de acordo com descobertas da Cisco Talos e da Trend Micro.
Descobriu-se que os ataques Qilin analisados pelo Talos implantam uma DLL maliciosa chamada "msimg32.dll", que inicia uma cadeia de infecção de vários estágios para desabilitar soluções de detecção e resposta de endpoint (EDR). A DLL, lançada por meio de carregamento lateral de DLL, é capaz de encerrar mais de 300 drivers EDR de quase todos os fornecedores de segurança do mercado.
“O primeiro estágio consiste em um carregador PE responsável por preparar o ambiente de execução para o componente assassino EDR”, disseram os pesquisadores do Talos Takahiro Takeda e Holger Unterbrink. "Essa carga secundária está incorporada ao carregador de forma criptografada."
O carregador de DLL implementa uma série de técnicas para evitar a detecção. Ele neutraliza ganchos de modo de usuário, suprime registros de eventos do Event Tracing for Windows (ETW) e toma medidas para ocultar o fluxo de controle e os padrões de invocação de API. Como resultado, ele permite que a carga principal do EDR killer seja descriptografada, carregada e executada inteiramente na memória enquanto voa totalmente sob o radar.
Depois de lançado, o malware usa dois drivers:
rwdrv.sys, uma versão renomeada de “ThrottleStop.sys” que é usada para obter acesso à memória física do sistema e atuar como uma camada de acesso de hardware no modo kernel.
hlpdrv.sys, para encerrar processos associados a mais de 300 drivers EDR diferentes pertencentes a várias soluções de segurança.
Vale ressaltar que ambos os drivers foram usados como parte de ataques BYOVD realizados em conjunto com invasões de ransomware Akira e Makop.
"Antes de carregar o segundo driver, o componente eliminador do EDR cancela o registro dos retornos de chamada estabelecidos pelo EDR, garantindo que o encerramento do processo possa prosseguir sem interferência", disse Talos. "Isso demonstra os truques sofisticados que o malware está empregando para contornar ou desabilitar completamente os recursos modernos de proteção EDR em sistemas comprometidos."
De acordo com estatísticas compiladas pela CYFIRMA e Cynet, o Qilin emergiu como o grupo de ransomware mais ativo nos últimos meses, fazendo centenas de vítimas. O grupo foi ligado a 22 dos 134 incidentes de ransomware relatados no Japão em 2025, representando 16,4% de todos os ataques.
"Qilin depende principalmente de credenciais roubadas para obter acesso inicial", disse Talos. "Depois de violar com sucesso um ambiente alvo, o grupo coloca ênfase considerável nas atividades pós-comprometimento, permitindo-lhe expandir metodicamente seu controle e maximizar o impacto."
O fornecedor de segurança cibernética também observou que a execução do ransomware ocorreu em média cerca de seis dias após o comprometimento inicial, destacando a necessidade das organizações detectarem atividades maliciosas o mais cedo possível e impedirem a implantação de ransomware.
A divulgação ocorre no momento em que o grupo de ransomware Warlock (também conhecido como Water Manaul) continua a explorar servidores Microsoft SharePoint sem correção, enquanto atualiza seu conjunto de ferramentas para maior persistência, movimento lateral e evasão de defesa. Isso inclui o uso de TightVNC para controle persistente e um driver NSec legítimo, mas vulnerável ("NSecKrnl.sys") em um ataque BYOVD para encerrar produtos de segurança no nível do kernel, substituindo o Driver "googleApiUtil64.sys" usado em campanhas anteriores.
Também observadas durante o ataque do Warlock em janeiro de 2026 foram as seguintes ferramentas -
PsExec, para movimento lateral.
RDP Patcher, para facilitar sessões RDP simultâneas.
Velociraptor, para comando e controle (C2).
Visual Studio Code e Cloudflare Tunnel, para tunelamento de comunicações C2.
Yuze, para penetração na intranet e estabelecimento de uma conexão proxy reversa com o servidor C2 do invasor através de HTTP (porta 80), HTTPS (porta 443) e DNS (porta 53).
Rclone, para exfiltração de dados.
Para combater ameaças de BYOVD, é recomendado permitir apenas drivers assinados de editores explicitamente confiáveis, monitorar eventos de instalação de driver e manter um cronograma rigoroso de gerenciamento de patches para atualização de software de segurança, especificamente aqueles com componentes baseados em driver que podem ser explorados.
“A dependência do Warlock de drivers vulneráveis para desabilitar os controles de segurança requer uma defesa em múltiplas camadas focada na integridade do kernel”, disse a Trend Micro. “Assim, as organizações devem atualizar da proteção básica de endpoint para impor uma governança rigorosa de drivers e monitoramento em tempo real das atividades em nível de kernel”.
Descobriu-se que os ataques Qilin analisados pelo Talos implantam uma DLL maliciosa chamada "msimg32.dll", que inicia uma cadeia de infecção de vários estágios para desabilitar soluções de detecção e resposta de endpoint (EDR). A DLL, lançada por meio de carregamento lateral de DLL, é capaz de encerrar mais de 300 drivers EDR de quase todos os fornecedores de segurança do mercado.
“O primeiro estágio consiste em um carregador PE responsável por preparar o ambiente de execução para o componente assassino EDR”, disseram os pesquisadores do Talos Takahiro Takeda e Holger Unterbrink. "Essa carga secundária está incorporada ao carregador de forma criptografada."
O carregador de DLL implementa uma série de técnicas para evitar a detecção. Ele neutraliza ganchos de modo de usuário, suprime registros de eventos do Event Tracing for Windows (ETW) e toma medidas para ocultar o fluxo de controle e os padrões de invocação de API. Como resultado, ele permite que a carga principal do EDR killer seja descriptografada, carregada e executada inteiramente na memória enquanto voa totalmente sob o radar.
Depois de lançado, o malware usa dois drivers:
rwdrv.sys, uma versão renomeada de “ThrottleStop.sys” que é usada para obter acesso à memória física do sistema e atuar como uma camada de acesso de hardware no modo kernel.
hlpdrv.sys, para encerrar processos associados a mais de 300 drivers EDR diferentes pertencentes a várias soluções de segurança.
Vale ressaltar que ambos os drivers foram usados como parte de ataques BYOVD realizados em conjunto com invasões de ransomware Akira e Makop.
"Antes de carregar o segundo driver, o componente eliminador do EDR cancela o registro dos retornos de chamada estabelecidos pelo EDR, garantindo que o encerramento do processo possa prosseguir sem interferência", disse Talos. "Isso demonstra os truques sofisticados que o malware está empregando para contornar ou desabilitar completamente os recursos modernos de proteção EDR em sistemas comprometidos."
De acordo com estatísticas compiladas pela CYFIRMA e Cynet, o Qilin emergiu como o grupo de ransomware mais ativo nos últimos meses, fazendo centenas de vítimas. O grupo foi ligado a 22 dos 134 incidentes de ransomware relatados no Japão em 2025, representando 16,4% de todos os ataques.
"Qilin depende principalmente de credenciais roubadas para obter acesso inicial", disse Talos. "Depois de violar com sucesso um ambiente alvo, o grupo coloca ênfase considerável nas atividades pós-comprometimento, permitindo-lhe expandir metodicamente seu controle e maximizar o impacto."
O fornecedor de segurança cibernética também observou que a execução do ransomware ocorreu em média cerca de seis dias após o comprometimento inicial, destacando a necessidade das organizações detectarem atividades maliciosas o mais cedo possível e impedirem a implantação de ransomware.
A divulgação ocorre no momento em que o grupo de ransomware Warlock (também conhecido como Water Manaul) continua a explorar servidores Microsoft SharePoint sem correção, enquanto atualiza seu conjunto de ferramentas para maior persistência, movimento lateral e evasão de defesa. Isso inclui o uso de TightVNC para controle persistente e um driver NSec legítimo, mas vulnerável ("NSecKrnl.sys") em um ataque BYOVD para encerrar produtos de segurança no nível do kernel, substituindo o Driver "googleApiUtil64.sys" usado em campanhas anteriores.
Também observadas durante o ataque do Warlock em janeiro de 2026 foram as seguintes ferramentas -
PsExec, para movimento lateral.
RDP Patcher, para facilitar sessões RDP simultâneas.
Velociraptor, para comando e controle (C2).
Visual Studio Code e Cloudflare Tunnel, para tunelamento de comunicações C2.
Yuze, para penetração na intranet e estabelecimento de uma conexão proxy reversa com o servidor C2 do invasor através de HTTP (porta 80), HTTPS (porta 443) e DNS (porta 53).
Rclone, para exfiltração de dados.
Para combater ameaças de BYOVD, é recomendado permitir apenas drivers assinados de editores explicitamente confiáveis, monitorar eventos de instalação de driver e manter um cronograma rigoroso de gerenciamento de patches para atualização de software de segurança, especificamente aqueles com componentes baseados em driver que podem ser explorados.
“A dependência do Warlock de drivers vulneráveis para desabilitar os controles de segurança requer uma defesa em múltiplas camadas focada na integridade do kernel”, disse a Trend Micro. “Assim, as organizações devem atualizar da proteção básica de endpoint para impor uma governança rigorosa de drivers e monitoramento em tempo real das atividades em nível de kernel”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #qilin #e #warlock #ransomware #usam #drivers #vulneráveis #para #desativar #mais #de #300 #ferramentas #edr
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário