Nhóm ransomware ALPHV (hay còn gọi là BlackCat) đã được quan sát thấy đang sử dụng trình điều khiển nhân Windows độc hại đã ký để tránh bị phần mềm bảo mật phát hiện trong các cuộc tấn công.
Trình điều khiển mà Trend Micro thấy là phiên bản cải tiến của phần mềm độc hại có tên là 'POORTRY' mà Microsoft, Mandiant, Sophos và SentinelOne đã phát hiện trong các cuộc tấn công ransomware vào cuối năm ngoái .
Phần mềm độc hại POORTRY là trình điều khiển nhân Windows được ký bằng các khóa bị đánh cắp thuộc về các tài khoản hợp pháp trong Chương trình Nhà phát triển Phần cứng Windows của Microsoft.
Trình điều khiển độc hại này đã được sử dụng bởi nhóm hack UNC3944, còn được gọi là 0ktapus và Scattered Spider, để chấm dứt phần mềm bảo mật chạy trên thiết bị Windows nhằm tránh bị phát hiện.
Mặc dù phần mềm bảo mật thường được bảo vệ để không bị chấm dứt hoặc giả mạo, vì trình điều khiển nhân Windows chạy với các đặc quyền cao nhất trong hệ điều hành, chúng có thể được sử dụng để chấm dứt hầu hết mọi quy trình.
Trend Micro cho biết những kẻ tấn công ransomware đã cố gắng sử dụng trình điều khiển POORTRY do Microsoft ký, nhưng tỷ lệ phát hiện của nó cao sau khi nó được công khai và sau khi các khóa ký mã bị thu hồi.
Do đó, tin tặc đã triển khai phiên bản cập nhật của trình điều khiển nhân POORTRY được ký bằng chứng chỉ ký chéo bị đánh cắp hoặc bị rò rỉ.
Trình điều khiển mới được sử dụng bởi hoạt động của phần mềm tống tiền BlackCat giúp chúng nâng cao đặc quyền của mình trên các máy bị xâm nhập và sau đó dừng các quy trình liên quan đến các tác nhân bảo mật.
Hơn nữa, nó có thể cung cấp một liên kết lỏng lẻo giữa nhóm ransomware và các nhóm hack UNC3944/Scattered Spider.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.