Ransomware Medusa usa driver malicioso com certificados roubados para desativar antivírus

Os hackers por trás da operação de ransomware como serviço (RaaS) Medusa foram observados utilizando um driver malicioso chamado ABYSSWORKER como parte de um ataque do tipo bring your own vulnerable driver (BYOVD), projetado para desativar ferramentas antivírus e de detecção.

Segundo a Elastic Security Labs, em um dos ataques do Medusa, o ransomware foi entregue por meio de um loader empacotado com um serviço de empacotamento (Packer-as-a-Service) chamado HeartCrypt.“O loader foi implantado junto com um driver assinado com um certificado revogado de um fornecedor chinês — que nomeamos como ABYSSWORKER. Ele é instalado na máquina da vítima e usado para desativar soluções EDR (detecção e resposta de endpoint) de diferentes fabricantes”, informou a empresa em seu relatório.

O driver em questão, chamado smuol.sys, imita um driver legítimo da CrowdStrike Falcon (CSAgent.sys). Diversos artefatos relacionados ao ABYSSWORKER foram identificados na plataforma VirusTotal entre 8 de agosto de 2024 e 25 de fevereiro de 2025, todos assinados com certificados provavelmente roubados e posteriormente revogados de empresas chinesas.

O fato de o malware estar assinado com certificados aparentemente válidos dá uma falsa sensação de confiança, permitindo que ele burle sistemas de segurança. Vale destacar que esse driver que desativa EDRs foi anteriormente documentado pela ConnectWise em janeiro de 2025, sob o nome nbwdv.sys.

Ao ser inicializado, o ABYSSWORKER adiciona o processo à lista de processos protegidos do sistema e escuta comandos de controle de entrada e saída (I/O control), que são redirecionados para manipuladores específicos, dependendo do código. Esses comandos permitem desde copiar ou deletar arquivos até matar processos e desativar sistemas de segurança.

Um dos comandos mais perigosos é o 0x222400, capaz de cegar ferramentas de segurança ao remover callbacks de notificação registrados — abordagem também usada por ferramentas como EDRSandBlast e RealBlindingEDR. A lista inclui comandos para desabilitar antimalware, reiniciar o sistema, encerrar processos e threads, entre outros.

As descobertas coincidem com um relatório da Venak Security que mostra como hackers vêm explorando um driver legítimo porém vulnerável, usado pelo antivírus ZoneAlarm da Check Point, para obter privilégios elevados e desativar recursos de segurança do Windows, como a Memory Integrity. Com esse acesso, os hackers estabeleceram conexões via RDP para manter acesso persistente ao sistema. A brecha já foi corrigida pela Check Point.

“Como o driver vsdatant.sys opera com privilégios elevados no kernel, os invasores conseguiram explorar suas falhas para contornar proteções e assumir controle total das máquinas infectadas”, afirmou a empresa. Após esse acesso, os hackers extraíram dados sensíveis como senhas e credenciais armazenadas, possibilitando ataques adicionais.

Esse cenário ocorre ao mesmo tempo em que a operação de ransomware RansomHub (também conhecida como Greenbottle e Cyclops) foi associada ao uso de um backdoor multifuncional e até então não documentado, apelidado de Betruger, por pelo menos um de seus afiliados.

Esse implant possui funcionalidades típicas de malware usado como precursor de ataques de ransomware, como captura de tela, keylogging, varredura de rede, elevação de privilégios, coleta de credenciais e exfiltração de dados para servidores remotos. Segundo a Symantec (da Broadcom), o Betruger parece ter sido criado para reduzir o número de ferramentas utilizadas em ataques, concentrando várias funções em um único artefato, o que difere de abordagens anteriores que utilizam ferramentas separadas para cada etapa do ataque.

Via - THN