Η ομάδα ransomware ALPHV (γνωστή και ως BlackCat) παρατηρήθηκε να χρησιμοποιεί υπογεγραμμένα κακόβουλα προγράμματα οδήγησης πυρήνα των Windows για να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας κατά τη διάρκεια επιθέσεων.
Το πρόγραμμα οδήγησης που βλέπει η Trend Micro είναι μια βελτιωμένη έκδοση του κακόβουλου λογισμικού που είναι γνωστό ως «POORTRY» που εντόπισαν οι Microsoft, Mandiant, Sophos και SentinelOne σε επιθέσεις ransomware στα τέλη του περασμένου έτους.
Το κακόβουλο λογισμικό POORTRY είναι ένα πρόγραμμα οδήγησης πυρήνα των Windows που έχει υπογραφεί χρησιμοποιώντας κλεμμένα κλειδιά που ανήκουν σε νόμιμους λογαριασμούς στο Πρόγραμμα προγραμματιστών υλικού Windows της Microsoft.
Αυτό το κακόβουλο πρόγραμμα οδήγησης χρησιμοποιήθηκε από την ομάδα hacking UNC3944, γνωστή επίσης ως 0ktapus και Scattered Spider, για να τερματίσει το λογισμικό ασφαλείας που εκτελείται σε μια συσκευή Windows για να αποφύγει τον εντοπισμό.
Ενώ το λογισμικό ασφαλείας προστατεύεται συνήθως από τον τερματισμό ή την παραβίαση, καθώς τα προγράμματα οδήγησης πυρήνα των Windows εκτελούνται με τα υψηλότερα προνόμια στο λειτουργικό σύστημα, μπορούν να χρησιμοποιηθούν για τον τερματισμό σχεδόν κάθε διαδικασίας.
Η Trend Micro λέει ότι οι ιδιοκτήτες του ransomware προσπάθησαν να χρησιμοποιήσουν το υπογεγραμμένο από τη Microsoft πρόγραμμα οδήγησης POORTRY, αλλά τα ποσοστά ανίχνευσής του ήταν υψηλά μετά τη δημοσιότητα που έλαβε και μετά την ανάκληση των κλειδιών υπογραφής κώδικα.
Ως εκ τούτου, οι χάκερ ανέπτυξαν μια ενημερωμένη έκδοση του προγράμματος οδήγησης πυρήνα POORTRY, υπογεγραμμένη, χρησιμοποιώντας ένα κλεμμένο ή διαρροή πιστοποιητικό διασταυρούμενης υπογραφής.
Το νέο πρόγραμμα οδήγησης,που χρησιμοποιείται από το ransomware BlackCat, τους βοηθά να αυξήσουν τα προνόμιά τους σε μηχανήματα που έχουν παραβιαστεί και στη συνέχεια να σταματήσουν τις διαδικασίες που σχετίζονται με πράκτορες ασφαλείας.
Επιπλέον, μπορεί να παρέχει μια χαλαρή σύνδεση μεταξύ της συμμορίας ransomware και των ομάδων hacking UNC3944/Scattered Spider.