En ny ransomware-stamme kalt GodDamn skaper overskrifter på grunn av en teknikk som bør bekymre alle som antar at antivirusprogramvaren deres har det siste ordet om hva som kjøres på maskinen deres. Ifølge rapportering fra Dark Reading bruker angriperne bak GodDamn en ondsinnet kjernedriver som Microsoft selv har signert, og gjør et pålitelig digitalt sertifikat om til et våpen mot sikkerhetsverktøyene som skulle stoppe det. Dette er et skoleeksempel på et BYOVD-angrep, forkortelse for «Bring Your Own Vulnerable Driver», og det er i ferd med å bli et av de mest pålitelige triksene i en ransomware-operatørs verktøykasse.
Hva skjedde
GodDamn ransomware har rammet amerikanske selskaper ved å ta i bruk en driver på kjernenivå som bærer en legitim Microsoft-signatur. Fordi Windows stoler på at signerte drivere kan operere dypt inne i operativsystemet, klarte denne driveren å snike seg forbi forsvar og terminere sikkerhetsprogramvare før ransomware-nyttelasten i det hele tatt ble kjørt. Når endepunktbeskyttelse er deaktivert, står angriperne fritt til å kryptere filer og bevege seg gjennom et nettverk stort sett uoppdaget. Det faktum at Microsoft signerte driveren i utgangspunktet er den mest slående detaljen her: det betyr at den ondsinnede koden ikke trengte å utnytte en sårbarhet i Windows, men snarere misbruke tilliten som ligger i selve signeringsprosessen.
Hvordan BYOVD omgår sikkerhetslagene dine
Kjernedrivere opererer på det høyeste privilegienivået på en Windows-maskin, effektivt under laget der de fleste antivirus- og endepunktdeteksjonsverktøy kjører. Det er nettopp derfor angripere ønsker en slik. En driver med en gyldig signatur utløser ikke den samme granskingen som en usignert eller ukjent kjørbar fil ville gjort, så den kan lastes inn stille og deretter brukes til å deaktivere, blinde eller drepe andre sikkerhetsprosesser som kjører på systemet.
Dette har betydning utover tradisjonell antivirus. VPN-klientprogramvare, DNS-filtreringsverktøy og andre personvern- eller sikkerhetsapplikasjoner kjører også som prosesser på det samme operativsystemet, og de kan være like sårbare for å bli stengt ned av en angriper på kjernenivå som allerede har den graden av kontroll. En VPN krypterer trafikken din og kan bidra til å forhindre visse former for nettverkssnoking, men den var aldri designet for å stoppe en ondsinnet driver fra å deaktivere sikkerhetsprogramvare på OS-nivå. Når en angriper først har kjernetilgang, opererer de under nivået der de fleste forbruker- og bedriftssikkerhetsverktøy kan se dem, noe som er akkurat grunnen til at lagdelt forsvar er viktig i stedet for å stole på et enkelt verktøy.
BYOVD er ikke nytt, men det har blitt en foretrukket teknikk nettopp fordi det fungerer så godt mot moderne forsvar. Ransomware-operatører bygger i økende grad denne evnen direkte inn i skadevaren sin i stedet for å behandle den som et separat verktøy som distribueres på forhånd, noe som øker hastigheten på angrep og gjør deteksjon vanskeligere. Det bredere mønsteret av at angripere beveger seg raskt når de først finner noe som fungerer, er synlig over hele ransomware-landskapet akkurat nå. Utpressingsgrupper har også vist vilje til å slå raskt mot kritisk infrastruktur, slik man så da SpaceBears angrep en fransk teleoperatør tidligere i år, og storskala datatyverioperasjoner som den ShinyHunters hevdet mot NAIC viser hvor mye data som står på spill når de innledende forsvarslagene først svikter.
Hvorfor dette betyr noe for sikkerheten til enheten din
Den viktigste lærdommen fra GodDamn handler ikke om ransomware isolert sett, men om sårbarheten i tillitsbaserte sikkerhetsmodeller. Signert kode, verifiserte sertifikater og leverandørgodkjenning er alle ment å signalisere trygghet, men angripere fortsetter å finne måter å misbruke nettopp disse signalene på. Hastighet er også en faktor. Akkurat som angripere raskt klarte å kompromittere titusenvis av servere etter at et kritisk sårbarhet for omgåelse av autentisering i cPanel ble offentliggjort, er ransomware-grupper raske til å operasjonalisere enhver teknikk, inkludert ondsinnede signerte drivere, som gir dem et fortrinn over forsvarerne.
For både vanlige brukere og IT-administratorer understreker dette en enkel poeng: ett enkelt sikkerhetslag, enten det er antivirus, en VPN eller en brannmur, er ikke nok alene. Forsvar i dybden, altså flere overlappende beskyttelser, forblir den mest realistiske måten å redusere risiko på når angripere aktivt finner veier rundt enhver enkelt kontroll.
Hva dette betyr for deg
Hvis du administrerer Windows-systemer, enten hjemme eller i en bedriftssammenheng, er GodDamn-ransomwarekampanjen en påminnelse om å holde håndhevelse av driversignering, endepunktdeteksjon og patchadministrasjon oppdatert. Windows har mekanismer for å blokkere kjente dårlige drivere, og å holde disse forsvarene oppdatert er avgjørende siden angripere er avhengige av utdaterte blokkeringslister for å snike sårbare drivere forbi deteksjon.
En VPN forblir en verdifull del av personvern- og sikkerhetsverktøykassen din, særlig for å kryptere trafikk på upålitelige nettverk og begrense eksponering for visse former for overvåkning, men den bør forstås som ett lag blant flere snarere enn et komplett forsvar mot sofistikert skadevare. Å kombinere en anerkjent VPN med oppdatert antivirusprogramvare, rettidige OS-oppdateringer og forsiktig håndtering av nedlastinger og e-postvedlegg gir deg en mye sterkere samlet sikkerhetsholdning enn å stole på et enkelt verktøy.
Praktiske råd
Hold Windows og all sikkerhetsprogramvare fullstendig oppdatert, siden Microsoft regelmessig oppdaterer blokkeringslisten for sårbare drivere for å tette slike hull. Aktiver minneintegritet og kjerneisolasjonsfunksjoner i Windows Sikkerhet-innstillinger der det støttes, da disse kan gjøre BYOVD-angrep vanskeligere å gjennomføre. Ta regelmessig sikkerhetskopier av kritiske data og oppbevar kopier frakoblet, slik at ransomware-kryptering ikke kan holde filene dine som gisler. Behandle VPN-en din som en del av en bredere sikkerhetsstrategi snarere enn et frittstående skjold, og kombiner den med endepunktbeskyttelse og trygge surfevaner. Til slutt, hold deg informert om nye BYOVD- og ransomware-teknikker, siden det å forstå hvordan angripere omgår tillitsbaserte forsvar er det første steget mot å tette disse hullene før de når deg.




