.
Os criminosos cibernéticos estão explorando uma vulnerabilidade antiga nos drivers da Intel na tentativa de obter acesso às redes de uma forma que lhes permita contornar as proteções de segurança cibernética.
Os ataques foram detalhados por pesquisadores de segurança cibernética da Crowdstrike, que sugerem que a campanha direcionada aos sistemas Windows é obra de um grupo cibercriminoso que eles rastreiam como Scattered Spider – também conhecido como Roasted 0ktapus e UNC3944.
O Scattered Spider é uma operação de cibercrime motivada financeiramente, que os pesquisadores dizem ter interesse particular nos setores de telecomunicações e terceirização de negócios, com o objetivo de obter acesso a redes de operadoras de telefonia móvel.
Acredita-se que os invasores inicialmente obtenham acesso às redes usando ataques de phishing por SMS para roubar nomes de usuário e senhas. Em alguns casos, os invasores usaram esse acesso para obter acesso a credenciais adicionais, enquanto o grupo também se envolve em ataques de troca de SIM.
Também: Cibersegurança: essas são as novidades com as quais se preocupar em 2023
Uma vez dentro de uma rede, o Scattered Spider usa uma técnica que Crowdstrike descreve como ‘Bring Your Own Vulnerable Driver’ (BYOVD), que visa brechas na segurança do Windows.
Enquanto a Microsoft tenta limitar os recursos de acesso de malware aos sistemas impedindo que drivers de modo kernel não assinados sejam executados por padrão, os invasores podem contornar isso com o BYOVD, que permite instalar um driver mal-intencionado legitimamente assinado para realizar ataques.
Os certificados legitimamente assinados podem ser roubados ou os invasores encontram soluções alternativas que permitem que eles assinem seus próprios certificados. Mas não importa como eles são obtidos, eles podem executar e instalar secretamente seus próprios drivers em sistemas para desabilitar produtos de segurança e ocultar suas atividades.
Uma das maneiras pelas quais eles fazem essa operação da maneira mais furtiva possível é não usar malware, mas instalar uma variedade de ferramentas legítimas de acesso remoto para garantir a persistência no sistema comprometido.
De acordo com a análise da Crowdstrike, os invasores estão fornecendo drivers de kernel maliciosos por meio de uma vulnerabilidade no driver de diagnóstico Intel Ethernet para Windows (rastreado como CVE-2015-2291).
Também: Cibersegurança, nuvem e codificação: por que essas três habilidades liderarão a demanda em 2023
Como sugere o número de identificação, a vulnerabilidade é antiga, mas os cibercriminosos ainda conseguem explorá-la nos sistemas quando a atualização de segurança que fecha a vulnerabilidade não foi aplicada.
“Priorizar o patch de drivers vulneráveis pode ajudar a mitigar este e outros vetores de ataque envolvendo abuso de driver assinado”, alertam os pesquisadores.
As ferramentas que os invasores tentaram contornar incluem Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR e SentinelOne, bem como o próprio produto de segurança Falcon da Crowdstrike. Os pesquisadores da Crowdstrike dizem que o Falcon detectou e impediu a atividade maliciosa quando os invasores tentaram instalar e executar seu próprio código.
A Microsoft alertou anteriormente que “cada vez mais, os adversários estão aproveitando drivers legítimos no ecossistema e suas vulnerabilidades de segurança para executar malware” e, embora a empresa esteja tomando medidas para evitar abusos, a técnica de ataque ainda está funcionando.
A campanha Scattered Spider parece ter como alvo um conjunto específico de setores, mas a Crowdstrike recomenda que as equipes de TI e segurança cibernética em todos os setores garantam que suas redes estejam protegidas contra ataques, por exemplo, garantindo que o antigo patch de segurança tenha sido aplicado.
A Microsoft também fornece conselhos sobre regras recomendadas para bloquear drivers para ajudar a proteger os serviços. Mas a empresa adverte que o bloqueio de drivers pode causar mau funcionamento de dispositivos ou software e, em casos raros, levar à tela azul. A lista de bloqueio de drivers vulneráveis não garante o bloqueio de todos os drivers encontrados com vulnerabilidades.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
