Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Ransomware Qilin e Warlock: BYOVD spegne gli EDR e prepara la cifratura invisibile
Le recenti campagne ransomware attribuite ai gruppi Qilin e Warlock mostrano un salto di qualità nelle tecniche di evasione e sabotaggio delle difese endpoint. Entrambe le operazioni stanno sfruttando la strategia BYOVD (bring your own vulnerable driver) per disattivare strumenti di sicurezza a livello kernel e preparare il terreno alla cifratura.
Questo approccio consente agli attaccanti di caricare driver legittimi ma vulnerabili e usarli come leva per terminare processi e componenti critici delle soluzioni EDR, riducendo drasticamente la capacità di rilevamento e risposta.
Nel caso di Qilin, le analisi descrivono una catena di infezione multi-stage avviata da una DLL malevola chiamata msimg32.dll eseguita tramite DLL side-loading. Il loader prepara l’ambiente e rilascia un payload secondario cifrato che viene decifrato e caricato interamente in memoria. Prima di attivare il modulo di EDR killer, il malware adotta diverse misure di defense evasion come la neutralizzazione di hook in user-mode e la soppressione dei log ETW (Event Tracing for Windows), oltre a tecniche di offuscamento del flusso di controllo e delle chiamate API. L’obiettivo è far operare il componente principale sotto il radar.
Una volta in esecuzione, Qilin utilizza due driver. Il primo, rwdrv.sys, è una versione rinominata di ThrottleStop.sys, utile per accedere alla memoria fisica e operare come layer di accesso hardware in kernel-mode. Il secondo, hlpdrv.sys, viene impiegato per terminare processi associati a oltre 300 driver EDR appartenenti a numerosi vendor. Prima di caricare il secondo driver, il malware rimuove callback di monitoraggio impostate dalle soluzioni EDR, così da eseguire la terminazione senza interferenze. Qilin inoltre risulta spesso basato su credenziali rubate per l’accesso iniziale e tende a posticipare l’esecuzione del ransomware di circa sei giorni, ampliando la finestra per movimento laterale ed esfiltrazione.
Parallelamente Warlock continua a colpire server Microsoft SharePoint non aggiornati e aggiorna il proprio arsenale per persistenza e lateral movement. Tra gli strumenti osservati figurano TightVNC, PsExec, RDP Patcher, Velociraptor, Visual Studio Code con Cloudflare Tunnel, Yuze e Rclone. Anche qui BYOVD è centrale, con l’uso di un driver vulnerabile NSecKrnl.sys per disabilitare prodotti di sicurezza a livello kernel.
Per mitigare minacce BYOVD e ransomware, è fondamentale applicare una governance rigorosa dei driver, consentire solo driver firmati da publisher esplicitamente fidati, monitorare gli eventi di installazione driver e mantenere un patch management continuo per software di sicurezza con componenti basati su driver.