I ricercatori di Trend Micro hanno scoperto nuovi attacchi ransomware effettuati dal gruppo BlackCat (noto anche come ALPHV). I cybercriminali hanno utilizzato un driver firmato di Windows per aggirare la protezione delle soluzioni di sicurezza e installare il malware. Microsoft dovrà revocare il certificato per facilitare la rilevazione e il blocco della minaccia.
Attacco ransomware con driver firmato
Mandiant, Sophos e Sentinel One avevano individuato un driver firmato attraverso un account sviluppatore iscritto al Windows Hardware Developer Program. Microsoft ha successivamente chiuso l’account e revocato il certificato di firma. Il gruppo BlackCat ha quindi utilizzato un altro driver firmato per distribuire il ransomware.
Secondo l’analisi di Trend Micro, i cybercriminali hanno sfruttato una versione aggiornata del driver scoperto a dicembre 2022, denominato POORTRY da Mandiant. In dettaglio, il driver scoperto durante l’attacco di febbraio 2023 è ktgn.sys
, copiato nella directory C:\%User%\AppData\Local\Temp\
e caricato in memoria dall’eseguibile tjr.exe
.
I ricercatori sottolineano che il certificato digitale (firmato da BopSoft) è stato revocato, ma il driver viene caricato senza problemi su Windows. I cybercriminali hanno usato il tool Safengine Protector per offuscare il codice e impedire l’analisi statica. Il driver infetto espone un’interfaccia IOCTL (Input and Output Control) che permette al file tjr.exe
di inviare comandi, eseguito dal driver con privilegi kernel.
I comandi consentono di attivare/disattivare il driver, cancellare/copiare file, arrestare i processi delle soluzioni di sicurezza e riavviare il computer. Il driver viene quindi utilizzato all’inizio dell’attacco per evitare la rilevazione del ransomware distribuito alla fine della catena di infezione.