A operação de ransomware Medusa tem adotado novas estratégias para comprometer sistemas de segurança, explorando a técnica “traga seu próprio driver vulnerável” (BYOVD). O grupo de cibercriminosos emprega um driver malicioso chamado ABYSSWORKER para desativar ferramentas de proteção, garantindo que o ransomware possa ser executado sem detecção.
Uso de certificados revogados para evitar detecção
Segundo o Elastic Security Labs, um dos ataques do Medusa foi executado utilizando um carregador compactado chamado HeartCrypt. Esse ataque incluiu um driver assinado por um certificado revogado de um fornecedor chinês, identificado como ABYSSWORKER. Esse componente malicioso é instalado na máquina da vítima e age para desativar soluções de segurança, incluindo sistemas de detecção e resposta a ameaças (EDR).
O driver, denominado “smuol.sys”, imita um driver legítimo do CrowdStrike Falcon, conhecido como “CSAgent.sys”. Dados do VirusTotal indicam que diversas variantes do ABYSSWORKER foram registradas entre agosto de 2024 e fevereiro de 2025. Todas as amostras identificadas utilizam certificados revogados, permitindo que os atacantes evitem sistemas de segurança.
Como funciona o ABYSSWORKER
Esse driver malicioso permite que cibercriminosos executem uma série de comandos para modificar arquivos, encerrar processos e eliminar proteções de segurança. Algumas das suas principais funções incluem:
- 0x222080 – Ativa o driver utilizando uma senha específica
- 0x222180 – Exclui arquivos do sistema
- 0x222400 – Remove callbacks de segurança
- 0x222144 – Finaliza processos pelo ID
- 0x222664 – Reinicia o sistema comprometido
O comando 0x222400 é particularmente perigoso, pois permite eliminar os mecanismos de monitoramento de soluções de segurança. Essa tática já foi observada em ferramentas especializadas na desativação de EDRs, como EDRSandBlast e RealBlindingEDR.
Notícias Relacionadas
Ameaça digital
Ransomware paralisa operações da Sensata Technologies e expõe dados corporativos
A Sensata Technologies foi alvo de ransomware que afetou operações e resultou no roubo de dados. A empresa está investigando o incidente com apoio externo e implementando medidas para retomar as atividades.
Segurança cibernética
Grupo chinês usa falha na ESET para implantar novo malware TCESB no Windows
Grupo ToddyCat explora falha no scanner da ESET para instalar o novo malware TCESB no Windows, usando técnicas furtivas e drivers vulneráveis da Dell para escapar da detecção.
Exploração de drivers vulneráveis
Relatórios da Venak Security apontam que agentes de ameaça têm explorado drivers vulneráveis de softwares legítimos para elevar privilégios e desativar proteções do Windows. Um caso recente envolveu o antivírus ZoneAlarm da Check Point, cujo driver foi usado para obter controle total sobre sistemas comprometidos.
Com acesso privilegiado, os criminosos estabeleceram conexões via Remote Desktop Protocol (RDP), garantindo persistência na máquina infectada. Embora a Check Point tenha corrigido a vulnerabilidade, o incidente destaca como drivers comprometidos podem ser usados para contornar medidas de segurança.
RansomHub e o uso de backdoors
Além do Medusa, outro grupo de ransomware, chamado RansomHub (também conhecido como Greenbottle ou Cyclops), foi associado a um backdoor inédito chamado Betruger. Esse malware inclui funcionalidades típicas de ataques que antecedem a execução de ransomware, como:
- Captura de tela
- Keylogging
- Elevação de privilégios
- Roubo de credenciais
- Exfiltração de dados
A Symantec observou que o Betruger se destaca por ser um malware personalizado, diferindo das ferramentas geralmente usadas por grupos de ransomware, como Mimikatz e Cobalt Strike. Essa abordagem sugere que os atacantes estão aprimorando suas técnicas para manter persistência nos sistemas comprometidos.
Conclusão
A exploração da técnica BYOVD pelo ransomware Medusa evidencia o avanço das estratégias de ataque cibernético. O uso de drivers maliciosos assinados com certificados revogados permite evitar detecção e comprometer sistemas de segurança de maneira silenciosa. Para mitigar riscos, empresas e usuários devem adotar estratégias de monitoramento proativo, atualizações frequentes e restrição ao uso de drivers não autorizados.
