Recentemente, uma nova análise do fenômeno conhecido como “EDR killers” voltou a colocar sobre a mesa uma técnica que tem tempo a explorar em intrusões de ransomware: muitos desses programas projetados para neutralizar soluções de segurança aproveitam controladores legítimos, mas vulneráveis para se tornarem com privilégios de kernel. De acordo com a pesquisa da ESET, mais de meio centena de ferramentas deste tipo empregam a tática conhecida como BYOVD —bring your own vulnerável driver—, usando dezenas de controladores com falhas conhecidas para saltar as protecções do sistema.
No campo da cibersegurança tornou-se uma prática recorrente: antes de lançar a encriptação que deixará inacessíveis arquivos, os atores maliciosos executam uma etapa prévia dedicada exclusivamente a desativar ou evadir as defesas do endpoint. Essa “herramienta de choque” atua à margem do ransomware principal e facilita que a criptografia se mantenha simples e estável, sem necessidade de incorporar sofisticadas capacidades de evasão em seu próprio código. O resultado é uma cadeia de ataque mais modular e reutilizável, algo muito atraente para modelos de negócio criminosos como o ransomware-as-a-service.
A essência do BYOVD é relativamente simples e perigosa: em vez de carregar um controlador malicioso sem assinar – o qual está bloqueado em sistemas modernos – o atacante instala ou reutiliza um controlador legítimo, assinado por um fornecedor, que contém uma vulnerabilidade explorável. Com esse erro é possível executar código no modo kernel (Ring 0), a camada mais privilegiada do sistema, desde onde podem ser terminados processos de segurança, anular callbacks do kernel e manipular mecanismos que deveriam proteger o computador. Bitdefender explica bem este padrão em sua explicação sobre BYOVD, onde se detalha como se abusa do modelo de confiança de controladores assinado pela Microsoft para escalar privilégios: tecnologia atrás do BYOVD.
O relatório ESET documenta quase noventa ferramentas destinadas a matar EDRs, e aponta que uma porção significativa delas confia nesses controladores vulneráveis. Em alguns casos, as ferramentas são desenvolvimentos próprios de grupos de ransomware “cerrados” que não dependem de afiliados; em outros, trata-se de forks ou modificações de testes de conceito públicos que acabam sendo usadas no terreno. Também existe um mercado subterrâneo onde se compram e vendem este tipo de utilidades como serviços, o que baixa a barreira de entrada para atacantes com menos habilidades técnicas.
Nem todas as famílias de EDR killers usam drivers com assinatura. O ESET detectou variantes que recorrem a scripts e comandos administrativos nativos do Windows, como o taskkill ou o net stop, para forçar a detenção de serviços de segurança, bem como utilitários legítimos de suporte e análise que permitem terminar processos protegidos. Até começaram a aparecer projetos “sem driver” que, em vez de explorar um controlador vulnerável, bloqueiam a comunicação ou colocam soluções de segurança em um estado de “coma” por outras técnicas. Em qualquer dos casos, o objetivo é o mesmo: deixar a máquina o mais desprotegida possível logo antes de a encriptação ser executada.
Do ponto de vista da defesa, a recomendação habitual é óbvia, mas complexa de aplicar: é necessário impedir que controladores conhecidos por serem abusados sejam carregados nos ambientes corporativos. A Microsoft mantém políticas e documentação sobre a modelagem de assinatura de drivers e as restrições nos sistemas Windows, que ajudam a entender por que a carga de drivers legítimos but vulneráveis é uma proposta tão poderosa para os atacantes – e, portanto, tão problemática para os administradores: política de assinatura de código no modo kernel.
No entanto, bloquear controladores numa organização não é uma cura mágica: os EDR killers aparecem no final da cadeia de ataque, no momento em que o atacante está prestes a cifrar dados. Se uma defesa concreta falhar, o agressor pode testar com outra ferramenta ou método alternativo. É por isso que os especialistas insistem que a protecção eficaz exige Defesas em profundidade: controle de carga de drivers, monitoramento contínuo, detecção de comportamentos anormais, segmentação de rede e planos de resposta que permitam conter atividades maliciosas em fases precoces.
A pesquisa do ESET também evidencia uma tendência inquietante: os autores dessas ferramentas têm priorizado a sofisticação nas partes que interagem com o sistema do usuário (user-mode) para evitar análises e detecção, deixando a criptografia final mais simples. Em outras palavras, o esforço já não está tanto em fazer com que o ransomware passe despercebido por si mesmo, mas em “deixar sem defesas” ao sistema para que a encriptação faça seu trabalho com menos obstáculos. Esta separação de funções aumenta a eficiência operacional das bandas e facilita a reutilização de componentes maliciosos.
Para equipes de segurança e responsáveis TI isso significa reconsiderar como se midem e priorizam as proteções: não basta confiar em uma solução EDR robusta se esta pode ser posta fora de jogo por um exploit relativamente simples. É fundamental contar com listas brancas e pretas de controladores, aplicar adesivos e atualizações, monitorar a instalação de drivers e tentativas de elevação de privilégios, e manter mecanismos de detecção que não dependem exclusivamente de processos individuais. Recursos adicionais sobre a tática BYOVD e como a mitigar estão disponíveis em análises técnicas e assinaturas da indústria, que ajudam a entender o comportamento e a identificar indicadores de compromisso: Análise detalhada do ESET e explicações técnicas sobre BYOVD como a de Picus aqui.
Em suma, os EDR killers continuam a ser uma ferramenta atraente para os grupos de ransomware porque são baratos, confiáveis e podem ser usados de forma independente da criptografia. A resposta, por sua vez, passa por combinar prevenção técnica, visibilidade constante e estratégia de resposta que abarque todo o ciclo do ataque. Só assim será possível reduzir o espaço de manobra daqueles que procuram desligar as nossas defesas logo antes de exigir um resgate pelos dados.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...