Drivers vulneráveis viram arma em golpes de ransomwareWindows libera nova opção de segurança para bloqueio de drivers vulneráveis
As campanhas maliciosas foram detectadas em outubro e envolviam drivers com acesso ao kernel do Windows, de forma que obtivessem o mais alto privilégio no sistema operacional. Assim, os criminosos eram capazes de desativar softwares de segurança e realizar tarefas avançadas nos dispositivos contaminados, incluindo o download de novas ameaças usadas, principalmente, em ataques onde um comprometimento inicial já havia sido realizado. Drivers do chamado kernel-mode só podem rodar no Windows se assinados oficialmente, com o programa de desenvolvedores da Microsoft servindo como uma barreira para verificação dos responsáveis e autenticação de seus softwares. A Microsoft não disse quantas contas foram banidas como parte da campanha, mas de acordo com informações das empresas de segurança parceiras, seriam pelo menos nove. Vieram dos especialistas, também, alguns detalhes sobre os golpes realizados. A Sophos, por exemplo, associou um ataque usando drivers maliciosos à gangue de ransomware Cuba, enquanto a SentinelOne apontou o dedo para o Hive. Segundo ela, o bando tem como alvo empresas de telecomunicações, serviços financeiros, segurança gerenciada e terceirização, com o ataque identificado tendo acontecido contra uma empresa do segmento de saúde. Já a Mandiant chamou a atenção para um grupo chamado UNC3944, que utilizou o método em golpes envolvendo o roubo de credenciais ou a clonagem de números e chips de celular. O comprometimento inicial, na maioria dos casos, acontece antes do ataque em si, por meio de campanhas de phishing ou vazamentos de informações, o que também faz pensar que a própria assinatura também pode ser um serviço oferecido a cibercriminosos. A proliferação das ameaças é outra indicação disso. Enquanto ataques do tipo BYOB (ou “traga seu próprio driver” na sigla em inglês) estão se tornando comuns, a ideia de que contas legítimas de desenvolvedor foram comprometidas para esse fim, ou pior ainda, criadas e validadas para uso em ataques, chama a atenção como um novo formato. A Microsoft disse ainda estar investigando o caso e não comentou como os perfis passaram suas checagens obrigatórias para acesso ao programa. Para conseguir isso, os criminosos teriam de passar por um extenso processo que envolve até mesmo a compra de certificados de validação — outra indicação de se tratar de uma operação criminosa direcionada. Após a verificação pela Microsoft, os drivers passam a ser aceitos, com a confiabilidade do programa também fazendo com que softwares de segurança e monitoramento deem permissão automática para softwares assinados desta maneira, o que aumenta o risco em caso de comprometimento do sistema. A empresa alerta também que já liberou uma atualização para o Windows que revoga os certificados, o que faz com que drivers instalados em máquinas comprometidas também deixem de funcionar. A recomendação é de atualização imediata, enquanto a empresa aponta estar buscando mais maneiras de garantir que incidentes desse tipo não se repitam. Fonte: Microsoft
