Close Menu
    Noticias de Tecnologia

    Falha em driver permite que hackers driblem Microsoft Defender e instalem ransomware Akira

    Hackers burlam Microsoft Defender com ransomware Akira

    Usuários do Windows enfrentam uma nova ameaça que contorna a proteção nativa do sistema operacional. Um relatório da GuidePoint Security revelou que grupos criminosos estão explorando um driver legítimo para desativar o Microsoft Defender e instalar o ransomware Akira.

    Entenda a falha: driver rwdrv.sys vira porta de entrada

    O vetor de ataque parte do driver “rwdrv.sys”, utilizado por programas de ajuste de CPU da Intel. Embora seja assinado e reconhecido pelo Windows, o componente oferece permissões de alto nível. Criminosos se aproveitam dessas permissões para carregar um segundo arquivo, “hlpdrv.sys”, que é malicioso.

    Ao injetar o novo driver, os invasores obtêm controle sobre processos críticos do sistema. O principal objetivo é desativar serviços de segurança, em especial o Microsoft Defender, antes de iniciar a criptografia dos arquivos da vítima.

    Como o ataque acontece passo a passo

    1. Infecção inicial: o atacante envia o driver legítimo ou direciona o usuário a instalar um software de tuning que já contém o “rwdrv.sys”.

    2. Elevação de privilégios: com acesso de kernel fornecido pelo driver legítimo, o invasor carrega o “hlpdrv.sys”, que não passaria por verificações usuais sem essa brecha.

    3. Desativação do Defender: o driver malicioso interrompe serviços de segurança, remove políticas de proteção e apaga registros que poderiam alertar administradores.

    4. Execução do Akira: com o sistema desprotegido, o ransomware é executado, criptografa documentos e exibe a nota de resgate.

    Período de atividade e impacto potencial

    A GuidePoint Security observou os primeiros casos deste método em meados de julho. Até o momento, não há correção oficial divulgada pela Microsoft ou pelos desenvolvedores do driver legítimo. O número exato de máquinas comprometidas não foi informado, mas o relatório indica que a técnica vem ganhando popularidade em fóruns clandestinos.

    A brecha preocupa porque combina dois fatores críticos: uso de componente assinado, que reduz alertas do sistema, e desativação proativa das defesas, que acelera o sucesso do sequestro de dados. Empresas que dependem apenas do Microsoft Defender podem ser impactadas de forma significativa se não adotarem camadas adicionais de segurança.

    O que os usuários do Windows podem fazer

    Enquanto não há atualização que bloqueie o carregamento abusivo do driver, especialistas recomendam:

    1. Monitorar drivers carregados
    Ferramentas de segurança corporativa conseguem listar componentes em modo kernel. Qualquer presença não autorizada de “hlpdrv.sys” deve ser tratada como incidente.

    Falha em driver permite que hackers driblem Microsoft Defender e instalem ransomware Akira - Imagem do artigo original

    Imagem: mashable.com

    2. Restringir instalação de software de tuning
    Em ambientes corporativos, políticas de grupo podem bloquear executáveis que contenham “rwdrv.sys” ou exigir assinatura adicional.

    3. Implementar antivírus de terceiros
    Soluções com proteção de driver própria e bloqueio de comportamento em kernel são menos suscetíveis a esse tipo de ataque.

    4. Aplicar princípio de privilégio mínimo
    Contas de usuário com permissões reduzidas diminuem a chance de o invasor executar o primeiro estágio da ameaça.

    5. Manter backups offline
    Mesmo com camadas de prevenção, cópias isoladas de dados aceleram a recuperação caso a criptografia ocorra.

    Por que o método preocupa o setor de cibersegurança

    A técnica de Bring Your Own Vulnerable Driver (BYOVD) não é inédita, mas o caso atual destaca a facilidade com que um driver legítimo pode ser transformado em ferramenta de ataque. Como “rwdrv.sys” é utilizado para ajustes finos de hardware, ele costuma ser instalado por entusiastas de desempenho, ampliando o público potencial.

    Além disso, o ransomware Akira tem histórico de direcionar tanto indivíduos quanto organizações de médio porte, exigindo pagamentos em criptomoedas que variam conforme o volume de dados cifrados. A combinação de driver legítimo e ransomware versátil cria um cenário de risco elevado para diferentes perfis de usuário.

    Próximos passos das empresas afetadas

    Organizações que já utilizam o driver devem avaliar a necessidade real da ferramenta de tuning e, se possível, removê-la temporariamente. Equipes de TI também podem criar regras de detecção personalizadas para identificar qualquer tentativa de carregamento de “hlpdrv.sys”.

    Enquanto a Microsoft não divulga correção ou orientação oficial, a conscientização sobre o modo de operação do ataque é a linha de defesa mais imediata. Quanto maior o conhecimento sobre a falha, menores as chances de o exploit continuar sendo eficaz.

    {
    “@context”: “https://schema.org”,
    “@type”: “NewsArticle”,
    “headline”: “Falha em driver permite que hackers driblem Microsoft Defender e instalem ransomware Akira”,
    “datePublished”: “2024-04-27”,
    “dateModified”: “2024-04-27”,
    “author”: {
    “@type”: “Person”,
    “name”: “Redação”
    },
    “publisher”: {
    “@type”: “Organization”,
    “name”: “Portal de Tecnologia”,
    “logo”: {
    “@type”: “ImageObject”,
    “url”: “https://www.example.com/logo.png”
    }
    },
    “description”: “Relatório da GuidePoint Security mostra que hackers estão usando o driver rwdrv.sys para contornar o Microsoft Defender e instalar o ransomware Akira em PCs com Windows.”
    }

    Compartilhar.

    Postagens relacionadas