Исследователи кибербезопасности выявили опасную и изощренную эскалацию в тактике программ-вымогателей. Злоумышленники, стоящие за семействами программ-вымогателей Qilin и Warlock, теперь систематически используют легитимные, но уязвимые драйверы режима ядра для отключения средств защиты конечных точек (EDR) и антивирусного программного обеспечения (AV) на целевых системах. Эта техника, известная как Bring Your Own Vulnerable Driver (BYOVD, «принеси свой уязвимый драйвер»), позволяет вредоносному ПО получить наивысший уровень привилегий в операционной системе Windows. Оказавшись на уровне ядра, программа-вымогатель может напрямую манипулировать средствами безопасности, фактически ослепляя их перед развертыванием своей полезной нагрузки для шифрования файлов. Это представляет собой прямую атаку на фундаментальную security-инфраструктуру предприятий, выходящую за рамки манипуляций в пользовательском пространстве и атакующую само ядро операционной системы.
Наблюдения показывают, что в кампаниях используются драйверы с известными уязвимостями, часто полученные от легитимных производителей оборудования. Эти подписанные драйверы, которым доверяет операционная система Windows, используются для загрузки вредоносного кода в ядро. Аналитики безопасности сообщают, что полезные нагрузки программ-вымогателей содержат функционал для отключения или удаления более 300 различных продуктов EDR и AV. Список обширен и включает решения крупных вендоров, таких как CrowdStrike, Microsoft Defender, SentinelOne и Sophos, среди многих других. Обезвредив эти средства защиты, злоумышленники обеспечивают беспрепятственное выполнение процесса шифрования, что значительно увеличивает вероятность успешного развертывания программы-вымогателя и последующего шантажа.
Этот переход к атакам BYOVD свидетельствует о зрелости экосистемы программ-вымогателей, где противники вкладывают значительные ресурсы в преодоление современных защитных технологий. Он подчеркивает ключевую слабость традиционной модели безопасности: неотъемлемое доверие к подписанным драйверам ядра. Хотя Microsoft внедрила такие меры, как блокировка драйверов через Windows Defender Application Control и целостность кода, защищенную гипервизором (HVCI), многие организации не развернули эти меры смягчения в полной мере. Успех Qilin и Warlock демонстрирует, что без этих мер усиления защиты даже продвинутые инструменты EDR могут быть нейтрализованы достаточно привилегированной атакой.
Для защиты от этой растущей угрозы организациям необходимо применять многоуровневую стратегию безопасности, выходящую за рамки традиционной защиты конечных точек. Ключевые рекомендации включают применение строгих политик на установку драйверов, использование списка блокировки уязвимых драйверов от Microsoft и включение функций безопасности, таких как HVCI, в Windows 11 и Windows 10. Кроме того, необходимыми шагами являются развертывание специализированных инструментов для поиска угроз, способных обнаруживать аномальную активность на уровне ядра, и внедрение надежных списков разрешений для контроля приложений. Этот инцидент служит stark reminder того, что в современной кибербезопасности целостность ядра является последним рубежом обороны, и его защита должна быть главным приоритетом для любой организации, стремящейся противостоять развивающейся угрозе программ-вымогателей.
