O nouă tulpină de ransomware numită GodDamn face titluri de știri pentru o tehnică care ar trebui să îngrijoreze pe oricine crede că software-ul său antivirus are ultimul cuvânt asupra a ceea ce rulează pe mașina sa. Potrivit relatărilor din Dark Reading, atacatorii din spatele GodDamn folosesc un driver kernel malițios pe care Microsoft însuși l-a semnat, transformând un certificat digital de încredere într-o armă împotriva exact acelor instrumente de securitate menite să îl oprească. Este un exemplu clasic de atac BYOVD, prescurtare de la „Bring Your Own Vulnerable Driver” (adoptă-ți propriul driver vulnerabil), și devine una dintre cele mai sigure tactici din arsenalul operatorilor de ransomware.
Ce s-a întâmplat
Ransomware-ul GodDamn a vizat companii din SUA prin instalarea unui driver la nivel de kernel care poartă o semnătură Microsoft legitimă. Deoarece Windows are încredere că driverele semnate operează la nivel profund în interiorul sistemului de operare, acest driver a reușit să treacă de apărări și să oprească software-ul de securitate înainte ca încărcătura ransomware să fie executată. Odată ce protecția endpoint este dezactivată, atacatorii sunt liberi să cripteze fișierele și să se deplaseze prin rețea în mare parte nedetectați. Faptul că Microsoft a semnat driverul inițial este cel mai frapant detaliu aici: înseamnă că codul malițios nu a trebuit să exploateze o vulnerabilitate a Windows, ci mai degrabă să exploateze încrederea plasată în procesul de semnare în sine.
Cum ocolește BYOVD stiva ta de securitate
Driverele kernel operează la cel mai înalt nivel de privilegii pe o mașină Windows, efectiv sub stratul unde rulează majoritatea instrumentelor antivirus și de detecție endpoint. Tocmai de aceea atacatorii doresc unul. Un driver cu semnătură validă nu declanșează aceleași verificări ca un executabil nesemnat sau necunoscut, așa că se poate încărca silențios și apoi poate fi folosit pentru a dezactiva, orbi sau opri alte procese de securitate care rulează pe sistem.
Acest lucru contează dincolo de antivirusul tradițional. Software-ul client VPN, instrumentele de filtrare DNS și alte aplicații de confidențialitate sau securitate rulează, de asemenea, ca procese pe același sistem de operare și pot fi la fel de vulnerabile la a fi oprite de un atacator cu acces la nivel de kernel care deține deja acel grad de control. Un VPN îți criptează traficul și poate ajuta la prevenirea anumitor tipuri de supraveghere a rețelei, dar nu a fost niciodată proiectat să împiedice un driver malițios să dezactiveze software-ul de securitate la nivelul sistemului de operare. Odată ce un atacator are acces kernel, operează sub nivelul la care majoritatea instrumentelor de securitate pentru consumatori și companii îl pot vedea, ceea ce este exact motivul pentru care apărarea stratificată contează în loc de a te baza pe un singur instrument.
BYOVD nu este o noutate, dar a devenit o tehnică preferată tocmai pentru că funcționează atât de bine împotriva apărărilor moderne. Operatorii de ransomware integrează din ce în ce mai mult această capacitate direct în malware-ul lor, în loc să o trateze ca pe un instrument separat instalat în prealabil, ceea ce accelerează atacurile și îngreunează detectarea. Modelul mai larg al atacatorilor care acționează rapid odată ce găsesc ceva care funcționează este vizibil în peisajul ransomware actual. Grupurile de extorcare au demonstrat, de asemenea, disponibilitatea de a lovi rapid infrastructura critică, așa cum s-a văzut când SpaceBears a vizat un operator francez de telecomunicații la începutul acestui an, iar operațiunile de furt de date la scară largă, precum cea revendicată de ShinyHunters împotriva NAIC, arată cât de multe date sunt în joc odată ce apărările inițiale cedează.
De ce contează acest lucru pentru securitatea dispozitivelor tale
Lecția fundamentală a GodDamn nu este despre ransomware izolat, ci despre fragilitatea modelelor de securitate bazate pe încredere. Codul semnat, certificatele verificate și aprobarea furnizorului sunt toate menite să semnaleze siguranța, dar atacatorii găsesc constant modalități de a abuza exact acele semnale. Viteza este, de asemenea, un factor. Așa cum atacatorii s-au mișcat rapid pentru a compromite zeci de mii de servere după ce a fost dezvăluită o vulnerabilitate critică de bypass de autentificare cPanel, grupurile de ransomware sunt rapide în a operaționaliza orice tehnică, inclusiv drivere semnate malițioase, care le oferă un avantaj față de apărători.
Pentru utilizatorii obișnuiți și administratorii IT deopotrivă, acest lucru întărește un punct simplu: un singur strat de securitate, fie că este vorba de antivirus, VPN sau firewall, nu este suficient de unul singur. Apărarea în profunzime, adică mai multe protecții suprapuse, rămâne cea mai realistă modalitate de a reduce riscul atunci când atacatorii găsesc activ modalități de a ocoli orice control unic.
Ce înseamnă acest lucru pentru tine
Dacă administrezi sisteme Windows, fie acasă, fie într-un mediu de afaceri, campania de ransomware GodDamn este un memento să menții actualizate aplicarea semnăturilor driverelor, detecția endpoint și gestionarea patch-urilor. Windows dispune de mecanisme pentru a bloca driverele cunoscute ca fiind malițioase, iar menținerea acestor apărări actualizate este esențială, deoarece atacatorii se bazează pe liste de blocare învechite pentru a strecura drivere vulnerabile pe lângă detecție.
Un VPN rămâne o parte valoroasă a setului tău de instrumente de confidențialitate și securitate, în special pentru criptarea traficului pe rețele nesigure și pentru limitarea expunerii la anumite forme de supraveghere, dar trebuie înțeles ca un strat printre altele, nu ca o apărare completă împotriva malware-ului sofisticat. Combinarea unui VPN de încredere cu software antivirus actualizat, patch-uri la timp ale sistemului de operare și o manipulare prudentă a descărcărilor și atașamentelor de e-mail îți oferă o postură generală mult mai puternică decât bazarea pe un singur instrument.
Măsuri practice
Menține Windows și toate programele de securitate complet actualizate, deoarece Microsoft actualizează periodic lista de blocare a driverelor vulnerabile pentru a închide astfel de breșe. Activează integritatea memoriei și funcțiile de izolare a nucleului în setările de securitate Windows acolo unde sunt acceptate, deoarece acestea pot îngreuna atacurile BYOVD. Realizează copii de rezervă regulate ale datelor critice și păstrează copii offline, astfel încât criptarea ransomware să nu îți poată lua fișierele ostatice. Tratează VPN-ul ca parte a unei strategii de securitate mai largi, nu ca un scut de sine stătător, combinându-l cu protecția endpoint și obiceiuri de navigare sigură. În cele din urmă, informează-te constant despre tehnicile BYOVD și ransomware emergente, deoarece înțelegerea modului în care atacatorii ocolesc apărările bazate pe încredere este primul pas pentru a închide aceste breșe înainte ca ele să ajungă la tine.




