O ransomware BlackCat foi detectado em fevereiro, usando drivers de kernel do Windows assinados para evitar a detecção por ferramentas de segurança.

O malware POORTRY é um driver do kernel do Windows assinado por meio de chaves roubadas de contas genuínas no Windows Hardware Developer Program.

Embora o software de segurança seja geralmente protegido contra encerramento, os privilégios desfrutados pelos drivers do kernel do Windows são do mais alto nível e eles podem ser usados para finalizar qualquer processo.

Quando os invasores tentaram usar o POORTRY, descobriram que a taxa de detecção desse malware pelo software de segurança era muito alta devido à publicidade que ganhou depois que as chaves de assinatura de código foram revogadas. Portanto, eles modificaram o driver do kernel POORTRY.

Esse driver atualizado usado pela operação BlackCat permitiu que eles elevassem os privilégios em máquinas comprometidas e burlando os agentes de segurança.

É que os administradores adicionem os drivers maliciosos usados pelos grupos de ransomware à lista de bloqueio de drivers do Windows.

Drivers do kernel do Windows são usados em ataques do grupo BlackCat

Campanha de espionagem visa Ucrânia, Israel e outros países

Vulnerabilidade nos firewalls Zyxel pode ser explorada por cibercriminosos

Google lança programa de Bug Bounty para seus aplicativos Android

Royal Ransomware constrói seu próprio carregador de malware

Cibercriminosos exploram a AWS para operações lucrativas de mineração de criptomoedas

Reguladores da UE atingem meta com multa recorde de US$ 1,3 bilhão

Microsoft alerta para aumento de ataques direcionados para e-mails corporativos

Cibercriminosos estão distribuindo extensões maliciosas do VSCode

Nova falha de segurança em dispositivos Samsung