O cenário da cibersegurança enfrenta uma nova ameaça com a descoberta da mais recente inovação do grupo de ransomware Akira: a manipulação de drivers legítimos da Intel para desativar proteções críticas de segurança. Esse sofisticado vetor de ataque representa uma perigosa evolução nas táticas de ransomware, sendo um dos primeiros casos generalizados de abuso de componentes de fornecedores confiáveis de hardware para burlar softwares de segurança.
Análise técnica:
A cadeia de ataque começa com o comprometimento de redes corporativas através de vetores comuns como phishing ou portas RDP expostas. Uma vez estabelecidos, os invasores implantam uma versão modificada do driver de diagnóstico Ethernet da Intel (e1d65x64.sys), que inclui funcionalidade para desativar a proteção em tempo real do Microsoft Defender. Ao aproveitar a assinatura digital legítima e privilégios elevados do driver, o malware pode manipular configurações de segurança sem acionar mecanismos padrão de detecção.
Impacto e implicações:
Essa técnica é particularmente perigosa porque:
- Burlar detecção baseada em assinaturas tradicionais
- Explora a confiança inerente em componentes de fornecedores com assinatura digital
- Não requer vulnerabilidades zero-day, usando capacidades existentes do driver
- Deixa mínimos rastros forenses comparado a outros métodos de evasão
Recomendações defensivas:
As equipes de segurança devem implementar:
- Listas de permissões para instalação de drivers
- Monitoramento reforçado de eventos de carregamento de drivers
- Segmentação de rede para limitar movimento lateral
- Revisões periódicas de drivers instalados em ambientes corporativos
O surgimento dessa técnica sugere que grupos de ransomware estão investindo significativamente em pesquisa de evasão de defesas, provavelmente inspirando ataques similares no ecossistema cibercriminoso.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.