BlackCat: all'attacco con i driver Windows

I ricercatori di sicurezza di Trend Micro hanno comunicato di aver scoperto una serie di nuovi attacchi ransomware effettuati dal già noto gruppo BlackCat messi a segno utilizzato un driver firmato di Windows per aggirare la protezione degli antivirus. Per facilitare la rilevazione e il blocco della minaccia Microsoft dovrà provvedere a revocare il certificato.

BlackCat: nuovo attacco con driver firmato

Andando più in dettaglio, in principio diverse società di sicurezza avevano individuato un driver firmato attraverso un account sviluppatore iscritto al Windows Hardware Developer Program. Successivamente, il colosso di Redmond ha provveduto a chiudere l’account e a revocare il certificato di firma. Il gruppo BlackCat si è quindi messo all'opera per aggirare l'ostacolo, andando pertanto a sfruttare un altro driver firmato per la distribuzione del ransomware e per compiere le proprie malefatte.

Per la precisione, viene usata una versione aggiornata del driver denominata POORTRY. Viene usato all’inizio dell’attacco per evitare la rilevazione del ransomware distribuito alla fine della catena di infezione. I ricercatori fanno presente che il certificato digitale è stato revocato, ma il driver viene comunque caricato su Windows.

Per offuscare il codice e impedire l’analisi statica cybercriminali hanno usato il tool Safengine Protector.

Il driver infetto espone un’interfaccia IOCTL (Input and Output Control), la quale permette al file tjr.exe, il quale carica in memoria il ransomware e viene eseguito con privilegi kernel, di inviare comandi.

I comandi permettono di attivare e disattivare il driver, di cancellare e copiare file, di arrestare i processi degli antivirus e persino di effettuare il riavvio del computer.