Criminosos por trás do ransomware Medusa estão utilizando um driver malicioso chamado ABYSSWORKER para desativar ferramentas de segurança em ataques do tipo “Bring Your Own Vulnerable Driver” (BYOVD). Segundo os pesquisadores, o ataque foi observado com o uso de um carregador ofuscado pelo serviço HeartCrypt, que implantava o driver “smuol.sys”, disfarçado como legítimo do CrowdStrike Falcon.

Esse driver, assinado com certificados revogados, possivelmente roubados de empresas chinesas, tem a função de silenciar soluções EDR (Detecção e Resposta de Endpoint), permitindo que o ransomware atue sem ser detectado. Foram identificados diversos artefatos do ABYSSWORKER no VirusTotal entre agosto de 2024 e fevereiro de 2025.

O ABYSSWORKER adiciona o ID de processo à lista de processos protegidos e escuta requisições I/O, oferecendo comandos para copiar, deletar arquivos, finalizar processos e desabilitar sistemas de defesa. Um código específico (0x222400) permite remover callbacks de notificação, cegando ferramentas de segurança — tática também vista em malwares como EDRSandBlast. Os invasores também exploraram um driver vulnerável da ferramenta ZoneAlarm, da Check Point, para obter privilégios elevados, desativar proteções do Windows e acessar remotamente sistemas infectados via RDP. A falha foi corrigida e a versão vulnerável não é mais usada nas versões atuais.