A evolução do ransomware Qilin marca um novo capítulo preocupante na cibersegurança 2026. Pesquisadores da Cisco Talos e da Trend Micro identificaram campanhas ativas em que os grupos Qilin e Warlock conseguem desativar EDR e neutralizar mais de 300 ferramentas de segurança amplamente utilizadas no mercado.
O diferencial desses ataques está no uso avançado da técnica BYOVD, permitindo que os invasores operem diretamente no nível mais privilegiado do sistema, o chamado kernel-level. Isso transforma essas ameaças em verdadeiros EDR killer, capazes de contornar defesas modernas com eficiência alarmante.
Para profissionais de TI e segurança, o cenário é claro, as abordagens tradicionais já não são suficientes. Entender como esses ataques funcionam é essencial para proteger infraestruras críticas.
O que é a técnica BYOVD e como ela silencia o sistema
A técnica BYOVD (Bring Your Own Vulnerable Driver) consiste no uso de drivers legítimos, porém vulneráveis, para obter privilégios elevados dentro do sistema operacional.
Esses drivers são assinados digitalmente e confiáveis aos olhos do sistema, o que permite que sejam carregados sem levantar suspeitas. No entanto, suas vulnerabilidades conhecidas são exploradas para executar código malicioso no nível de kernel.
Uma vez nesse nível, os atacantes conseguem desabilitar mecanismos de defesa, encerrar processos de segurança e manipular diretamente a memória do sistema. Isso inclui a capacidade de desligar soluções de segurança de endpoints sem gerar alertas.
Esse tipo de ataque é extremamente perigoso porque ignora completamente as camadas tradicionais de proteção baseadas em comportamento e análise de usuário.
A estratégia do grupo Qilin e a DLL msimg32.dll
O grupo Qilin utiliza uma cadeia de infecção sofisticada que começa com técnicas de engenharia social e acesso inicial comprometido. Após a infiltração, eles utilizam DLL Side-Loading com o arquivo msimg32.dll para executar código malicioso de forma furtiva.
Um dos componentes centrais desse ataque é o driver vulnerável rwdrv.sys, que é carregado no sistema para permitir acesso privilegiado. A partir daí, os operadores conseguem encerrar serviços de segurança e preparar o ambiente para a execução do ransomware.
Além disso, ferramentas legítimas como Rclone e PsExec são utilizadas para movimentação lateral e exfiltração de dados, aumentando o impacto do ataque.
O uso combinado dessas técnicas mostra um nível elevado de planejamento e conhecimento interno dos sistemas alvo.
O avanço do grupo Warlock e a exploração de servidores SharePoint
O grupo Warlock segue uma abordagem semelhante, mas com foco em ambientes corporativos complexos, especialmente servidores Microsoft SharePoint.
Eles exploram vulnerabilidades conhecidas para obter acesso inicial e, em seguida, implantam ferramentas como TightVNC e Velociraptor para controle remoto e coleta de informações.
O destaque aqui é o uso do driver vulnerável NSecKrnl.sys, que permite executar ações maliciosas em nível de kernel. Assim como no caso do ransomware Qilin, isso facilita a desativação de soluções EDR de forma silenciosa.
A combinação de acesso remoto, persistência e controle total do sistema torna os ataques do grupo Warlock altamente eficazes e difíceis de detectar.
Por que as ferramentas EDR tradicionais estão falhando?
As soluções EDR tradicionais foram projetadas para detectar comportamentos suspeitos em nível de usuário e aplicação. No entanto, os ataques baseados em BYOVD operam abaixo dessas camadas, diretamente no kernel.
Isso cria uma lacuna crítica na defesa, onde ferramentas de segurança simplesmente não têm visibilidade suficiente para detectar ou bloquear atividades maliciosas.
Além disso, os atacantes utilizam técnicas avançadas de evasão em memória, dificultando ainda mais a identificação por soluções baseadas em assinatura ou comportamento.
Outro fator relevante é o uso de ferramentas legítimas no ataque, o que reduz a probabilidade de detecção e aumenta a eficácia das campanhas.
O resultado é um cenário onde até mesmo ambientes bem protegidos podem ser comprometidos rapidamente.
Como proteger sua infraestrutura contra ataques de drivers
Diante desse cenário, é fundamental adotar uma abordagem mais robusta e proativa para a segurança.
A primeira medida é implementar uma política rigorosa de governança de drivers. Isso inclui bloquear drivers conhecidos por vulnerabilidades e permitir apenas aqueles estritamente necessários.
O uso de tecnologias como Microsoft Defender Application Control (MDAC) ou listas de bloqueio de drivers vulneráveis pode reduzir significativamente a superfície de ataque.
Outra estratégia essencial é o monitoramento em nível de kernel, utilizando soluções que ofereçam visibilidade profunda do sistema. Isso permite detectar atividades suspeitas mesmo quando ocorrem fora do alcance das ferramentas tradicionais.
Manter sistemas atualizados com patches de segurança também é crucial, especialmente em servidores críticos como SharePoint.
Por fim, investir em treinamento e conscientização da equipe ajuda a reduzir o risco de comprometimento inicial, que ainda é uma etapa comum nesses ataques.
Conclusão e o futuro da defesa de endpoints
O avanço dos grupos Qilin e Warlock mostra que o cenário de ameaças está evoluindo rapidamente. A técnica BYOVD representa um desafio significativo para a segurança de endpoints, exigindo novas abordagens e tecnologias.
Para organizações, a mensagem é clara, confiar apenas em soluções tradicionais não é mais suficiente. É necessário adotar estratégias em múltiplas camadas, com foco em visibilidade, controle e resposta rápida.
A tendência é que ataques desse tipo se tornem mais comuns, tornando a preparação um fator decisivo para evitar prejuízos.
