Nový kmen ransomwaru nazvaný GodDamn poutá pozornost technikou, která by měla znepokojit každého, kdo předpokládá, že jeho antivirový software má poslední slovo o tom, co se na jeho počítači spouští. Podle zpravodajství Dark Reading používají útočníci za GodDamn škodlivý ovladač jádra, který podepsal samotný Microsoft, a mění tak důvěryhodný digitální certifikát ve zbraň proti bezpečnostním nástrojům, jež ho měly zastavit. Jedná se o učebnicový příklad útoku BYOVD, což je zkratka pro „Bring Your Own Vulnerable Driver“ (přines si vlastní zranitelný ovladač), a tato technika se stává jedním z nejspolehlivějších triků v arzenálu provozovatelů ransomwaru.

Co se stalo

Ransomware GodDamn zasáhl americké společnosti nasazením ovladače na úrovni jádra, který nese legitimní podpis Microsoftu. Protože Windows důvěřují podepsaným ovladačům, že mohou pracovat hluboko uvnitř operačního systému, dokázal tento ovladač proklouznout obranou a ukončit bezpečnostní software ještě předtím, než se vlastní ransomware vůbec spustil. Jakmile je koncová ochrana deaktivována, útočníci mohou volně šifrovat soubory a pohybovat se sítí převážně nezjištěni. Skutečnost, že Microsoft tento ovladač původně podepsal, je zde nejnápadnějším detailem: znamená to, že škodlivý kód nemusel zneužívat chybu ve Windows, ale spíše zneužil důvěru vloženou do samotného procesu podepisování.

Jak BYOVD obchází vaši bezpečnostní architekturu

Ovladače jádra pracují na nejvyšší úrovni oprávnění na počítači s Windows, tedy pod vrstvou, kde funguje většina antivirových a endpointových detekčních nástrojů. To je přesně důvod, proč je útočníci chtějí. Ovladač s platným podpisem nevyvolává stejnou kontrolu jako nepodepsaný nebo neznámý spustitelný soubor, takže se může potichu načíst a poté být použit k deaktivaci, oslepení nebo ukončení ostatních bezpečnostních procesů běžících v systému.

Toto má význam i mimo tradiční antiviry. Klientský software VPN, nástroje pro filtrování DNS a další aplikace pro soukromí či bezpečnost také běží jako procesy ve stejném operačním systému a mohou být stejně zranitelné vůči vypnutí útočníkem na úrovni jádra, který již tuto úroveň kontroly má. VPN šifruje váš provoz a může pomoci zabránit určitému typu síťového sledování, ale nikdy nebyla navržena tak, aby zabránila škodlivému ovladači v deaktivaci bezpečnostního softwaru na úrovni OS. Jakmile útočník získá přístup k jádru, operuje pod úrovní, kde ho většina spotřebitelských i podnikových bezpečnostních nástrojů vidí, což je přesně důvod, proč je obrana do hloubky důležitá namísto spoléhání se na jediný nástroj.

BYOVD není novinkou, ale stala se oblíbenou technikou právě proto, že tak dobře funguje proti moderním obranám. Provozovatelé ransomwaru tuto schopnost stále častěji zabudovávají přímo do svého malwaru, místo aby s ní zacházeli jako se samostatným nástrojem nasazovaným předem, což útoky zrychluje a ztěžuje detekci. Širší vzorec rychlého postupu útočníků, jakmile najdou něco, co funguje, je aktuálně viditelný napříč celou ransomware scénou. Vyděračské skupiny rovněž prokázaly ochotu rychle udeřit na kritickou infrastrukturu, jak bylo vidět, když SpaceBears zaútočili na francouzského telekomunikačního operátora na začátku letošního roku, a rozsáhlé krádeže dat, jako byla ta, kterou ShinyHunters ohlásili proti NAIC, ukazují, kolik dat je v sázce, jakmile selže počáteční obrana.

Proč na tom záleží pro bezpečnost vašeho zařízení

Základní ponaučení z GodDamn není pouze o ransomwaru samotném, ale o křehkosti bezpečnostních modelů založených na důvěře. Podepsaný kód, ověřené certifikáty a schválení dodavatele mají signalizovat bezpečnost, ale útočníci neustále hledají způsoby, jak tyto signály zneužít. Rychlost je také faktorem. Stejně jako útočníci rychle zasáhli desítky tisíc serverů poté, co byla zveřejněna kritická zranitelnost v autentizaci cPanel, ransomwerové skupiny rychle nasazují jakoukoli techniku, včetně škodlivých podepsaných ovladačů, která jim poskytne výhodu nad obránci.

Pro běžné uživatele i správce IT to zdůrazňuje jednoduchou věc: jediná bezpečnostní vrstva, ať už antivirus, VPN nebo firewall, sama o sobě nestačí. Obrana do hloubky, tedy více překrývajících se ochran, zůstává nejrealističtějším způsobem, jak snížit riziko, když útočníci aktivně hledají cesty, jak obejít jakoukoli jednotlivou kontrolu.

Co to znamená pro vás

Pokud spravujete systémy Windows, ať už doma nebo v podnikovém prostředí, je kampaň ransomwaru GodDamn připomínkou, abyste udržovali vynucování podepisování ovladačů, endpointovou detekci a správu záplat aktuální. Windows disponují mechanismy pro blokování známých škodlivých ovladačů a aktualizace těchto obran je zásadní, protože útočníci spoléhají na zastaralé blokovací seznamy, aby zranitelné ovladače proklouzly detekcí.

VPN zůstává cennou součástí vaší sady nástrojů pro soukromí a bezpečnost, zejména pro šifrování provozu na nedůvěryhodných sítích a omezení vystavení určitým formám sledování, ale je třeba ji chápat jako jednu z více vrstev, nikoli jako úplnou obranu proti sofistikovanému malwaru. Kombinace renomované VPN s aktualizovaným antivirovým softwarem, včasnými záplatami OS a obezřetností při stahování a manipulaci s e-mailovými přílohami vám poskytne mnohem silnější celkovou pozici, než spoléhat se na jediný nástroj.

Praktické kroky

Udržujte Windows a veškerý bezpečnostní software plně aktualizovaný, protože Microsoft pravidelně aktualizuje seznam blokovaných zranitelných ovladačů, aby zacelil podobné mezery. Zapněte v nastavení Zabezpečení Windows funkce integrity paměti a izolace jádra, kde jsou podporovány, protože mohou útoky typu BYOVD ztížit. Pravidelně zálohujte kritická data a ukládejte kopie offline, aby vás šifrování ransomwaru nemohlo držet jako rukojmí. Berte VPN jako součást širší bezpečnostní strategie, nikoli jako samostatný štít, a kombinujte ji s ochranou koncových bodů a bezpečnými návyky při prohlížení. A konečně, sledujte nové techniky BYOVD a ransomwaru, protože pochopení toho, jak útočníci obcházejí obranu založenou na důvěře, je prvním krokem k zacelení těchto mezer dříve, než k vám dorazí.