Pesquisadores de segurança identificaram um padrão preocupante nas campanhas de ransomware mais recentes: atores como os vinculados a Qilin e Warlock estão recorrendo à técnica conhecida como bring your own vulnerável driver (BYOVD) Para deixar em silêncio as defesas das equipes comprometidas. As análises da Cisco Talos e Trend Micro mostram que, longe de ataques tocos, estes grupos combinam engenharia de carga de livrarias, controle em memória e emprego de controladores legítimos, mas vulneráveis para alcançar privilégios de kernel e desativar soluções de proteção.
No caso atribuído a Qilin, Talos detectou a presença de um DLL maliciosa carregado por via de DLL side-loading com o nome "msimg32.dll". Esse DLL atua como um primeiro carregador que prepara o ambiente para um segundo componente - um "EDR killer" - que vem criptografado no próprio carregador. A execução final é realizada integralmente em memória, evitando assim deixar muitos dos artefatos clássicos que facilitam a detecção. O carregador também neutraliza ganchos em espaço de usuário, suprime eventos de Event Tracing for Windows (ETW) e mascarou chamadas a APIs para que o processo de desencriptado e carga passe quase despercebido.
Uma vez que o payload de destruição do EDR está pronto, os atacantes carregam dois controladores: um renomeado como rwdrv.sys (uma versão do ThrottleStop.sys) que serve para aceder à memória física e operar ao nível do kernel, e outro chamado hlpdrv.sys cujo propósito é terminar processos e desactivar mais de 300 controladores de EDR de numerosos fornecedores. Esta combinação de técnicas permite-lhes desactivar a maior parte da proteção do host antes de executar o ransomware. Talos tem documentado como, mesmo antes de carregar o segundo driver, o componente destinado a matar os EDRs anula callbacks de monitorização para evitar interferências durante as terminações de processo.
A mesma filosofia de aproveitar controladores com falhas foi vista em operações associadas ao Warlock (também conhecido como Water Manaul), que também explora servidores Microsoft SharePoint sem adesivo e foi atualizando seu kit de ferramentas para persistência, movimento lateral e evasão. Para manter acesso persistente e estabelecer canais de comando e controle, os operadores têm utilizado utilitários e soluções legítimas: TightVNC para controle remoto persistente, PsExec para se deslocar lateralmente, Velociraptor como ferramenta de C2, Visual Studio Code e Cloudflare Tunnel para tunelizar comunicações, Yuze para penetração de intranet e proxy inverso, e Rclone para exfiltrar dados. Na frente de drivers, Warlock mudou para um driver vulnerável do NSec ("NSecKrnl.sys") em suas campanhas mais recentes, substituindo outros controladores usados anteriormente.
Esta abordagem não é nova na teoria, mas a sua eficácia reside na combinação de fatores do mundo real: drivers assinados que contêm vulnerabilidades exploráveis, capacidades do atacante para carregar e renomear binários legítimos, e controles insuficientes na governação de drivers a nível organizacional. BYOVD explora a linha fina entre funcionalidade legítima do sistema e a capacidade dos atacantes para operar com privilégios de kernel, o que dificulta muito a detecção e mitigação se não houver controles específicos.
As métricas fornecidas por assinaturas como CYFIRMA e Cynet mostram que Qilin tem sido especialmente ativo, anotando-se uma proporção significativa dos incidentes relatados em certos territórios. Talos também assinala que, em média, a cifra com ransomware ocorre aproximadamente seis dias após a lacuna inicial, uma janela que os atacantes usam para se mover com calma, elevar privilégios e preparar a etapa destrutiva. Essa margem sublinha a importância de detectar atividade anómala nas fases iniciais do compromisso e de ter controlos que impeçam a carga de drivers potencialmente perigosos.
O que pode fazer uma organização para reduzir este risco? Em primeiro lugar, impor políticas rigorosas sobre controladores: permitir apenas controladores assinados por editores explicitamente confiáveis e auditar qualquer instalação de drivers. Em ambientes Windows, convém rever e aplicar as recomendações sobre assinatura e políticas de kernel publicadas pela Microsoft, bem como monitorar eventos relacionados à instalação e carga de controladores para identificar tentativas suspeitas. Outra linha de defesa é endurecer a gestão de patches: tanto o sistema operacional como as soluções de segurança com componentes a nível do kernel devem ser mantidas atualizados para evitar que um driver legítimo com vulnerabilidades se torne uma ferramenta de ataque.
Além da higiene do software, é imprescindível elevar a visibilidade sobre o kernel e as atividades em memória. Ferramentas de monitoramento que registram mudanças na integridade do kernel, o aparecimento de drivers não autorizados e o uso anormais de APIs relacionadas a traços ou telemetria podem detectar indícios de BYOVD antes de o atacante conseguir neutralizar as defesas. Também é conveniente reduzir a superfície de ataque através de controlos de acesso estritos sobre contas com privilégios e mecanismos de detecção precoce de movimentos laterais e exfiltração.
As equipes de resposta e os administradores deveriam considerar que muitas das ferramentas mencionadas pelos atacantes são software legítimo usado para fins maliciosos. Por isso, a mera presença de utilidades como PsExec, TightVNC ou Rclone não significa por si só uma má prática, mas seu uso inesperado dentro de um ambiente produtivo deve disparar alertas e análises. A combinação de monitoramento contínuo, governança de drivers e um procedimento de resposta que inclua a possibilidade de isolar hosts rapidamente é a receita prática para minimizar impacto.
Para aprofundar aspectos técnicos e guias de mitigação podem ser consultadas pesquisas e recomendações públicas dos fabricantes e de agências especializadas. A Cisco Talos e a Trend Micro publicaram análises sobre essas campanhas; além disso, a Microsoft mantém documentação técnica sobre Event Tracing for Windows e políticas de assinatura de controladores que são úteis para projetar controles adequados. Recursos adicionais como as páginas oficiais de projetos e ferramentas assinaladas (Velociraptor, Rclone, TightVNC) ajudam a entender como os atacantes aproveitam utilitários legítimos em suas cadeias de ataque.
A lição chave É claro: os atacantes nem sempre precisam desenvolver exploits complexos a partir de zero quando podem trazer consigo um driver vulnerável que funcione como alavanca. Proteger o kernel e controlar o que software de baixo nível pode ser executado na infraestrutura devem ser prioridades em qualquer estratégia moderna de defesa contra ransomware. A combinação de governança de drivers, detecção em memória e resposta rápida à atividade anómala é o que, na prática, pode fechar a janela que os grupos como Qilin e Warlock estão explodindo.
Fontes úteis para ampliar e aplicar estas recomendações: o blog técnico da Cisco Talos ( blog.talosintelligence.com), o centro de pesquisa da Trend Micro ( comboiodmicro.com/research), documentação da Microsoft sobre Event Tracing for Windows ( learn.microsoft.com — ETW) e sobre política de assinatura de controladores ( learn.microsoft.com — Kernel‐mode code‐signing policy). Para conhecer as ferramentas mencionadas, consulte a página do Velociraptor ( velocidex.com/velociraptor), o projeto Rclone ( rclone.org) e a descarga oficial de PsExec em Sysinternals ( learn.microsoft.com — PsExec).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...