Uma nova técnica sofisticada está sendo utilizada por cibercriminosos para desativar sistemas de detecção e resposta de endpoint (EDR), permitindo a instalação do ransomware Babuk. A abordagem, identificada como “Traga seu próprio instalador” (Bring Your Own Installer), aproveita brechas no processo de atualização do software de segurança SentinelOne.
Ransomware usa instalador legítimo do SentinelOne para desativar proteção EDR
Essa tática inovadora foi descoberta por especialistas da equipe de resposta a incidentes da Aon, a Stroz Friedberg, durante a análise de um incidente real de ransomware ocorrido no início de 2025. Segundo os pesquisadores John Ailes e Tim Mashni, os invasores utilizaram o instalador oficial do SentinelOne para interromper o funcionamento dos agentes EDR antes que a atualização fosse concluída.
Técnica dispensa ferramentas externas
Diferente de outros métodos que normalmente dependem de drivers ou ferramentas de terceiros para burlar a segurança, esse ataque é realizado exclusivamente com o uso do próprio instalador do SentinelOne. O processo aproveita a etapa em que o instalador encerra serviços do Windows associados ao software antes de aplicar atualizações.
Nesse intervalo, os agentes de ameaça forçam o encerramento do processo de instalação (msiexec.exe), impedindo a reativação dos serviços de proteção. O resultado é um sistema temporariamente sem defesas, o que facilita a entrada do ransomware.
Mitigação depende de configuração manual
A SentinelOne recomenda que os administradores ativem a opção “Autorização Online” nas políticas do sistema. Essa configuração, desativada por padrão, impede que atualizações, downgrades ou desinstalações sejam realizadas sem aprovação prévia via console de gerenciamento.
Notícias Relacionadas
Ameaça digital
StealC 2.2: malware evolui com roubo avançado de dados e mais furtividade
A nova geração do StealC, um perigoso malware focado em roubo de informações, foi revelada recentemente com atualizações que tornam suas operações ainda mais discretas e eficazes. A versão 2 do StealC começou a circular entre criminosos cibernéticos em março de 2025 e, desde então, tem recebido atualizações frequentes — a mais recente sendo a […]
Cibersegurança avançada
Módulos maliciosos em Go apagam discos Linux em ataques à cadeia de suprimentos
Pesquisadores de segurança detectaram uma ameaça crítica envolvendo três módulos escritos na linguagem Go, aparentemente legítimos, mas com código malicioso fortemente ofuscado. Esses módulos foram projetados para identificar sistemas operacionais Linux e, ao encontrá-los, baixar um script de destruição que torna os dispositivos inutilizáveis. Módulos Go maliciosos causam danos irreversíveis em sistemas Linux Os módulos […]
“É crucial que os clientes ativem essa proteção adicional para evitar esse tipo de desvio”, alerta John Ailes, da Stroz Friedberg. A pesquisa também identificou que, após o encerramento do instalador, o host afetado desaparece do painel de controle do SentinelOne, indicando o sucesso da operação maliciosa.
Risco persistente em diversas versões
Testes demonstraram que a técnica é eficaz em múltiplas versões do agente SentinelOne, tanto antigas quanto recentes, o que amplia significativamente o risco para empresas que ainda não ajustaram suas configurações. A Stroz Friedberg reportou a vulnerabilidade de forma responsável à SentinelOne, que em janeiro de 2025 iniciou a comunicação com seus clientes sobre a necessidade de ajustes imediatos.
Além disso, a SentinelOne compartilhou os detalhes com outros fornecedores líderes de EDR. A Palo Alto Networks foi uma das empresas que confirmou não ser afetada pela vulnerabilidade.
Conclusão
Com o aumento da complexidade dos ataques cibernéticos, é fundamental que organizações revisem suas políticas de segurança com frequência e apliquem as recomendações dos fornecedores de EDR. Embora a falha explorada seja específica do SentinelOne, ela serve como alerta para toda a indústria sobre os riscos inerentes ao processo de atualização de agentes de segurança.
