Atores ameaçadores usam uma nova ferramenta de hacking chamada AuKill para desativar o software de detecção e resposta de endpoints (EDR) nos sistemas das vítimas antes de implantar backdoors e ransomware em ataques Bring Your Own Vulnerable Driver (BYOVD).
Nesses ataques, os atores maliciosos deixam drivers legítimos assinados com um certificado válido e capazes de rodar com privilégios de kernel nos dispositivos das vítimas para desabilitar as soluções de segurança e assumir o controle do sistema.
Essa técnica é popular entre vários atores ameaçadores, desde grupos de hackers apoiados pelo estado até gangues de ransomware motivadas financeiramente.
O malware AuKill, primeiro detectado pelos pesquisadores de segurança do Sophos X-Ops, deixa um driver vulnerável do Windows (procexp.sys) próximo ao usado pelo Process Explorer v16.32 da Microsoft.
Este é um utilitário muito popular e legítimo que ajuda a coletar informações sobre processos ativos do Windows.
Para escalar privilégios, ele primeiro verifica se já está rodando com privilégios do SYSTEM e, se não estiver, se faz passar pelo serviço TrustedInstaller Windows Modules Installer para escalar para o SYSTEM.
Para desativar o software de segurança, o AuKill inicia vários threads para sondar e desativar continuamente os processos e serviços de segurança (e garantir que permaneçam desativados, impedindo que reiniciem).
Até o momento, várias versões do AuKill foram observadas na natureza, algumas implantadas em pelo menos três incidentes separados que levaram a infecções de ransomware Medusa Locker e LockBit desde o início do ano.
"A ferramenta foi usada em pelo menos três incidentes de ransomware desde o início de 2023 para sabotar a proteção do alvo e implantar o ransomware", disse o Sophos X-Ops.
"Em janeiro e fevereiro, os atacantes implantaram o ransomware Medusa Locker depois de usar a ferramenta; em fevereiro, um atacante usou o AuKill pouco antes de implantar o ransomware Lockbit."
AuKill é semelhante a uma ferramenta de código aberto chamada Backstab, que também usa um driver do Process Explorer para desativar soluções de segurança em dispositivos comprometidos.
Backstab foi anteriormente implantado pela gangue LockBit em pelo menos um ataque observado pelo Sophos X-Ops ao analisar a versão mais recente do malware do grupo de crimes cibernéticos, LockBit 3.0 ou LockBit Black.
"Encontramos várias semelhanças entre a ferramenta de código aberto Backstab e o AuKill", disseram os pesquisadores.
"Algumas dessas semelhanças incluem sequências de depuração semelhantes e lógica de fluxo de código quase idêntica para interagir com o driver."
A amostra mais antiga do AuKill tem um carimbo de data/hora de compilação de novembro de 2022, enquanto a mais recente foi compilada em meados de fevereiro, quando também foi usada como parte de um ataque vinculado ao grupo de ransomware LockBit.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...