En ny ransomwarevariant vid namn GodDamn skapar rubriker för en teknik som borde oroa alla som antar att deras antivirusprogram har sista ordet om vad som körs på deras dator. Enligt rapportering från Dark Reading använder angriparna bakom GodDamn en skadlig kärndrivrutin som Microsoft själva har signerat, vilket förvandlar ett betrott digitalt certifikat till ett vapen mot just de säkerhetsverktyg som skulle stoppa det. Det här är ett typexempel på en BYOVD-attack, vilket står för ”Bring Your Own Vulnerable Driver” (ta med din egen sårbara drivrutin), och det håller på att bli ett av de mest pålitliga knepen i en ransomware-operatörs verktygslåda.

Vad som hände

GodDamn-ransomwaren har drabbat amerikanska företag genom att distribuera en drivrutin på kärnnivå som bär en legitim Microsoft-signatur. Eftersom Windows litar på signerade drivrutiner för att arbeta djupt inne i operativsystemet kunde denna drivrutin glida förbi försvaren och avsluta säkerhetsprogramvara innan ransomwarenyttolasten någonsin kördes. När ändpunktsskyddet är avaktiverat kan angriparna fritt kryptera filer och röra sig genom ett nätverk i stort sett oupptäckt. Att Microsoft signerade drivrutinen från första början är den mest slående detaljen här: det betyder att den skadliga koden inte behövde utnyttja ett fel i Windows så mycket som den utnyttjade det förtroende som placeras i själva signeringsprocessen.

Hur BYOVD rundar din säkerhetsstack

Kärndrivrutiner körs på den högsta privilegienivån på en Windows-maskin, i praktiken under det lager där de flesta antivirus- och ändpunktsdetekteringsverktyg körs. Det är just därför angripare vill ha en. En drivrutin med en giltig signatur utlöser inte samma granskning som en osignerad eller okänd körbar fil, så den kan laddas tyst och sedan användas för att inaktivera, förblinda eller döda andra säkerhetsprocesser som körs på systemet.

Det här spelar roll bortom traditionellt antivirus. Programvara för VPN-klienter, DNS-filterverktyg och andra integritets- eller säkerhetsapplikationer körs också som processer på samma operativsystem, och de kan vara lika sårbara för att stängas ner av en angripare på kärnnivå som redan har den kontrollen. Ett VPN krypterar din trafik och kan hjälpa till att förhindra vissa typer av nätverkssnokande, men det var aldrig utformat för att stoppa en skadlig drivrutin från att inaktivera säkerhetsprogramvara på OS-nivå. När en angripare väl har kärn-access arbetar de under det lager där de flesta konsument- och företagsverktyg kan se dem, vilket är precis varför lagerförsvar är viktigt istället för att förlita sig på ett enda verktyg.

BYOVD är inte nytt, men det har blivit en favoriserad teknik just för att den fungerar så väl mot moderna försvar. Ransomware-operatörer bygger allt oftare in denna förmåga direkt i sin skadliga programvara i stället för att behandla den som ett separat verktyg som distribueras i förväg, vilket snabbar upp attacker och gör upptäckt svårare. Det bredare mönstret av att angripare rör sig snabbt när de hittar något som fungerar syns över hela ransomware-landskapet just nu. Utpressningsgrupper har också visat sig villiga att slå till snabbt mot kritisk infrastruktur, som när SpaceBears riktade in sig på en fransk teleoperatör tidigare i år, och storskaliga datastöldsoperationer som den som ShinyHunters påstod sig ha genomfört mot NAIC visar hur mycket data som står på spel när de första försvaren väl fallerar.

Varför detta spelar roll för din enhetssäkerhet

Den centrala läxan från GodDamn handlar inte om ransomware isolerat, utan om skörheten i förtroendebaserade säkerhetsmodeller. Signerad kod, verifierade certifikat och leverantörsgodkännanden är alla avsedda att signalera säkerhet, men angripare fortsätter att hitta sätt att missbruka just de signalerna. Hastighet är också en faktor. Precis som angripare snabbt rörde sig för att äventyra tiotusentals servrar efter att en kritisk sårbarhet för autentiseringsförbigång i cPanel avslöjades, är ransomware-grupper snabba att operationalisera varje teknik, inklusive skadliga signerade drivrutiner, som ger dem ett övertag över försvarare.

För vanliga användare och IT-administratörer understryker detta en enkel poäng: ett enda säkerhetslager, vare sig det är antivirus, ett VPN eller en brandvägg, räcker inte i sig självt. Djupförsvar, det vill säga flera överlappande skydd, förblir det mest realistiska sättet att minska risken när angripare aktivt hittar sätt att kringgå vilken enskild kontroll som helst.

Vad detta innebär för dig

Om du hanterar Windows-system, vare sig hemma eller i en företagsmiljö, är GodDamn-ransomwarekampanjen en påminnelse om att hålla drivrutinssigneringsupprätthållande, ändpunktsdetektering och patchhantering aktuella. Windows har mekanismer för att blockera kända skadliga drivrutiner, och att hålla dessa försvar uppdaterade är avgörande eftersom angripare förlitar sig på föråldrade blockeringslistor för att smyga in sårbara drivrutiner förbi detektering.

Ett VPN är fortfarande en värdefull del av din verktygslåda för integritet och säkerhet, särskilt för att kryptera trafik på otillförlitliga nätverk och begränsa exponering för vissa former av övervakning, men det bör förstås som ett lager bland flera snarare än ett komplett försvar mot sofistikerad skadlig programvara. Att kombinera ett välrenommerat VPN med uppdaterad antivirusprogramvara, aktuella OS-patchar och försiktig hantering av nedladdningar och e-postbilagor ger dig en mycket starkare övergripande skyddsnivå än att förlita dig på ett enda verktyg.

Praktiska åtgärder

Håll Windows och all säkerhetsprogramvara helt uppdaterade, eftersom Microsoft regelbundet uppdaterar sin blockeringslista över sårbara drivrutiner för att täppa till luckor som denna. Aktivera minnesintegritet och kärnisoleringsfunktioner i Windows-säkerhetsinställningarna där det stöds, eftersom dessa kan göra BYOVD-attacker svårare att genomföra. Säkerhetskopiera viktiga data regelbundet och förvara kopior offline, så att ransomware-kryptering inte kan hålla dina filer som gisslan. Behandla ditt VPN som en del av en bredare säkerhetsstrategi snarare än en fristående sköld, och kombinera det med ändpunktsskydd och säkra surfvanor. Slutligen, håll dig informerad om framväxande BYOVD- och ransomware-tekniker, eftersom förståelse för hur angripare rundar förtroendebaserade försvar är det första steget mot att täppa till dessa luckor innan de når dig.