De acordo com os especialistas da Kaspersky, os atacantes estão a visar cada vez mais o Windows através de ataques aos drivers vulneráveis. No segundo trimestre de 2024, o número de sistemas atacados através desta técnica aumentou quase 23% em comparação com o primeiro trimestre deste ano.
Os drivers vulneráveis podem ser explorados para uma vasta gama de ataques, incluindo ransomware e Ameaças Persistentes Avançadas (APTs).
Os ciberataques que utilizam drivers vulneráveis são conhecidos como BYOVD (Bring Your Own Vulnerable Driver). Estes ataques têm como objetivo tentar desativar as soluções de segurança de um sistema e aumentar os privilégios, permitindo realizar várias atividades maliciosas, tais como instalar ransomware ou estabelecer uma ligação para espionagem ou sabotagem, especialmente se um grupo de Ameaça Persistente Avançada (APT) estiver por detrás do ataque.
A Kaspersky informa que esta técnica de ataque aumentou em 2023 e que, atualmente, está a ganhar força, com impacto tanto nos indivíduos como nas organizações. No segundo trimestre de 2024, o número de sistemas atacados com a técnica BYOVD aumentou quase 23% em comparação com o trimestre anterior.
“Embora os próprios drivers sejam legítimos, podem conter vulnerabilidades. Estas vulnerabilidades podem então ser exploradas para fins maliciosos. Os atacantes utilizam várias ferramentas e métodos para instalar um driver vulnerável no sistema. Assim que o sistema operativo carrega este driver, o atacante pode explorá-lo para contornar os limites de segurança do kernel do sistema operativo para os seus próprios objetivos”, destaca Vladimir Kuskov, Diretor de Pesquisa Anti-Malware da Kaspersky.
Um aspeto preocupante desta tendência é a proliferação de ferramentas que exploram drivers vulneráveis – podem ser encontradas online. Apesar de ainda existirem relativamente poucas destas ferramentas em 2024 – apenas foram publicados 24 projetos em 2021 – os especialistas da Kaspersky observaram um aumento no número destas ferramentas publicadas online no ano passado.
“Embora nada impeça realmente os cibercriminosos de desenvolverem as suas próprias ferramentas privadas, as disponíveis publicamente eliminam a necessidade das competências específicas necessárias para pesquisar e explorar drivers vulneráveis. Só em 2023, identificámos cerca de 16 novas ferramentas desta natureza, o que representa um aumento substancial em relação às que observámos em anos anteriores. Tendo em conta este aumento, é altamente recomendável implementar medidas de proteção robustas para qualquer sistema”, explica Vladimir Kuskov.
Para combater as ameaças relacionadas com a exploração de drivers vulneráveis, recomenda-se que:
– Compreenda a sua infraestrutura e monitorize de perto os seus ativos;
– Proteja a sua empresa contra uma vasta gama de ameaças através de soluções da linha de produtos Kaspersky Next. Esta gama de produtos oferece proteção em tempo real, visibilidade de ameaças, capacidades de investigação e resposta de EDR e XDR para organizações de qualquer dimensão e indústria, bem como sistemas de proteção contra a exploração de drivers vulneráveis.
– Implemente um processo de Gestão de Patches para detetar software vulnerável dentro da infraestrutura e instalar prontamente patches de segurança. Soluções como Kaspersky Endpoint Security e Kaspersky Vulnerability Data Feed podem ser muito úteis.
– Efetue avaliações de segurança regulares para identificar e corrija as vulnerabilidades existentes, antes que estas se tornem um ponto de entrada para um atacante.
