Новый вымогатель под названием GodDamn привлекает внимание техникой, которая должна обеспокоить всех, кто полагает, что антивирус имеет последнее слово в отношении запускаемых программ. Согласно отчёту Dark Reading, операторы GodDamn используют вредоносный драйвер ядра, подписанный самой Microsoft, превращая доверенный цифровой сертификат в оружие против тех самых защитных средств, которые должны его остановить. Это хрестоматийный пример атаки BYOVD, сокращённо от «Bring Your Own Vulnerable Driver», и она становится одним из самых надёжных приёмов в арсенале операторов вымогателей.
Что произошло
Вымогатель GodDamn атакует американские компании, внедряя драйвер уровня ядра с легитимной подписью Microsoft. Поскольку Windows доверяет подписанным драйверам работать глубоко внутри операционной системы, этот драйвер смог обойти защиту и завершить процессы безопасности ещё до того, как была запущена полезная нагрузка вымогателя. Как только защита конечных точек отключена, злоумышленники могут беспрепятственно шифровать файлы и перемещаться по сети практически незамеченными. Самый поразительный момент здесь — то, что Microsoft изначально подписала этот драйвер: это означает, что вредоносный код не столько использовал уязвимость в Windows, сколько злоупотребил доверием к самому процессу подписания.
Как BYOVD обходит вашу систему безопасности
Драйверы ядра работают на самом высоком уровне привилегий в Windows, фактически ниже того уровня, на котором функционирует большинство антивирусов и средств обнаружения угроз на конечных точках. Именно поэтому они так нужны злоумышленникам. Драйвер с действительной подписью не вызывает той же проверки, что неподписанный или неизвестный исполняемый файл, поэтому он может загрузиться незаметно и затем использоваться для отключения, ослепления или уничтожения других защитных процессов в системе.
Это имеет значение не только для традиционных антивирусов. VPN-клиенты, инструменты фильтрации DNS и другие приложения для обеспечения конфиденциальности или безопасности также работают как процессы в той же операционной системе и могут быть столь же уязвимы к отключению атакующим, уже получившим контроль на уровне ядра. VPN шифрует ваш трафик и может помочь предотвратить определённые виды сетевого наблюдения, но он никогда не проектировался для того, чтобы остановить вредоносный драйвер от отключения защитного ПО на уровне ОС. Получив доступ к ядру, злоумышленник действует ниже того уровня, где его могут видеть большинство потребительских и корпоративных средств безопасности, — именно поэтому так важна эшелонированная защита, а не reliance на какой-то один инструмент.
BYOVD — не новинка, но эта техника стала излюбленной именно потому, что она настолько эффективна против современных защит. Операторы вымогателей всё чаще встраивают этот приём непосредственно в свои вредоносные программы, а не применяют его как отдельное средство, развёртываемое заранее, что ускоряет атаки и усложняет обнаружение. Более широкая тенденция к молниеносным действиям, когда злоумышленники находят работающий метод, прослеживается сейчас во всём ландшафте вымогателей. Группы, занимающиеся вымогательством, также демонстрируют готовность быстро наносить удары по критической инфраструктуре, как показала атака SpaceBears на французского телеком-оператора ранее в этом году, а масштабные операции по краже данных, подобные той, о которой заявили ShinyHunters в отношении NAIC, показывают, какие объёмы данных оказываются под угрозой, как только первая линия обороны рушится.
Почему это важно для безопасности ваших устройств
Главный урок GodDamn — не о вымогателе как таковом, а о хрупкости моделей безопасности, основанных на доверии. Подписанный код, проверенные сертификаты и одобрение вендора призваны сигнализировать о безопасности, но злоумышленники продолжают находить способы злоупотребить этими сигналами. Скорость также играет роль. Подобно тому, как злоумышленники стремительно скомпрометировали десятки тысяч серверов после раскрытия критической уязвимости обхода аутентификации в cPanel, группировки вымогателей быстро превращают в рабочий инструмент любую технику, включая вредоносные подписанные драйверы, дающую им преимущество над защитниками.
Для обычных пользователей, как и для ИТ-администраторов, это подкрепляет простую мысль: одного уровня защиты, будь то антивирус, VPN или межсетевой экран, недостаточно. Эшелонированная защита, то есть несколько перекрывающих друг друга слоёв, остаётся наиболее реалистичным способом снизить риск, когда злоумышленники активно ищут пути обхода любого отдельно взятого средства контроля.
Что это означает для вас
Если вы управляете системами Windows, будь то дома или в организации, кампания GodDamn служит напоминанием о необходимости поддерживать в актуальном состоянии принудительную проверку подписи драйверов, обнаружение угроз на конечных точках и управление исправлениями. В Windows существуют механизмы блокировки известных плохих драйверов, и своевременное обновление этих защит крайне важно, поскольку злоумышленники полагаются на устаревшие чёрные списки, чтобы пронести уязвимые драйверы мимо обнаружения.
VPN остаётся ценной частью вашего арсенала конфиденциальности и безопасности, особенно для шифрования трафика в ненадёжных сетях и ограничения воздействия определённых форм наблюдения, но его следует рассматривать как один из нескольких слоёв, а не как полную защиту от сложного вредоносного ПО. Сочетание надёжного VPN с обновлённым антивирусом, своевременными патчами ОС и осторожным обращением с загрузками и вложениями электронной почты даёт гораздо более сильную общую защиту, чем reliance на какой-то один инструмент.
Практические выводы
Полностью обновляйте Windows и всё защитное ПО, поскольку Microsoft периодически обновляет список уязвимых драйверов, чтобы закрывать подобные бреши. Включите функции целостности памяти и изоляции ядра в настройках безопасности Windows, где это поддерживается, — они могут затруднить проведение атак BYOVD. Регулярно создавайте резервные копии критически важных данных и храните их в автономном режиме, чтобы шифрование вымогателем не могло захватить ваши файлы в заложники. Относитесь к VPN как к части более широкой стратегии безопасности, а не как к автономному щиту, сочетая его с защитой конечных точек и привычками безопасного просмотра. Наконец, будьте в курсе появляющихся техник BYOVD и вымогателей, ведь понимание того, как злоумышленники обходят защиту, основанную на доверии, — это первый шаг к тому, чтобы закрыть эти бреши до того, как они вас коснутся.




