Ransomware zneužívá zranitelný ovladač na odstranění bezpečnostního softwaru

Výzkumníci Sophosu, kteří v posledních týdnech vyšetřovali dva různé ransomwarové útoky, vůbec poprvé zjistili, že útočníci využívají legitimní zranitelnost třetí strany ke smazání bezpečnostních produktů, než spustí ransomware. Toto je dalším důkazem, že hrozba ransomwaru se nadále vyvíjí, je nebezpečná a napadení hrozí i plně aktualizovaným počítačům. Bezpečnostní strategie se tak musí odpovídajícím způsobem přizpůsobit a musí zahrnovat různé úrovně, aby zachytily každou fázi útoku.

V minulém týdnu publikovali výzkumníci společnosti na SophosLabs Uncut novou studii  Ransomware zneužívá zranitelný ovladač na odstranění bezpečnostního softwaru, která ukazuje, jak kyberútočníci využívají legitimní zranitelnost třetí strany ke smazání bezpečnostních produktů, ještě než spustí ransomware nazvaný RobbinHood.

Mark Loman, ředitel inženýringu ve společnosti Sophos a jeden z hlavních autorů studie, k tomu uvedl následující:

„Ransomware RobbinHood využívá zranitelný i škodlivý ovladač, jehož jediným cílem je vyřadit z činnosti ochranu. Škodlivý ovladač neobsahuje nic jiného než útočný kód. Takže i když máte plně aktualizovaný počítač s Windows, bez známých zranitelností, ransomware jednu takovou útočníkům poskytne, aby mohli zlikvidovat vaši obranu ještě před tím, než začne samotný útok ransomwaru.

Naše analýza dvou ransomwarových útoků ukazuje, jak rychle a nebezpečně se tato hrozba dále vyvíjí. Poprvé se setkáváme s tím, že ransomware přináší svůj legitimně podepsaný, i když zranitelný, ovladač od třetí stany, který převezme kontrolu nad zařízením a využije jej k deaktivaci instalovaného bezpečnostního softwaru, přičemž obchází funkce speciálně určené k zabránění v takové manipulaci. Zlikvidování ochrany otevírá malwaru cestu k nerušené instalaci a spuštění ransomwaru.“

Co mohou organizace udělat, aby takovému útoku zabránily?

Mark Loman doporučuje přístup, složený ze třech kroků: „Za prvé, protože dnešní ransomwarové útoky používají více technik a taktik, musí obránci nasadit řadu technologií, aby narušili co nejvíce stádií útoku, integrovat veřejný cloud do své bezpečnostní strategie a povolit důležité funkce, včetně ochrany proti neoprávněné manipulaci, v bezpečnostním softwaru svých koncových bodů. Pokud je to možné, doplňte i funkci threat intelligence a profesionální threat hunting.

Za druhé, nasaďte silná bezpečnostní opatření, jako jsou vícefaktorová autentikace, složitá hesla, omezená přístupová oprávnění, pravidelná instalace záplat a zálohování dat, a také zablokujte zranitelné služby vzdáleného přístupu. A v neposlední řadě investujte a pokračujte v investicích do bezpečnostních školení pro zaměstnance.“