Il ransomware Medusa, un'operazione di ransomware-as-a-service (RaaS), ha adottato una nuova strategia per eludere i sistemi di sicurezza, utilizzando un driver malevolo noto come ABYSSWORKER. Questo attacco si basa sulla tecnica del "bring your own vulnerable driver" (BYOVD), che consente ai criminali informatici di disabilitare gli strumenti di anti-malware sui dispositivi delle vittime.

Durante un attacco osservato da Elastic Security Labs, il ransomware Medusa è stato distribuito tramite un loader impacchettato con HeartCrypt, un packer-as-a-service (PaaS). Questo loader, accompagnato da un driver firmato con certificati revocati di un venditore cinese, si installa sui sistemi delle vittime e mira a silenziare vari fornitori di rilevamento e risposta degli endpoint (EDR).

Il driver "smuol.sys" imita un driver legittimo di CrowdStrike Falcon. Sono stati rilevati numerosi artefatti di ABYSSWORKER su VirusTotal, tutti firmati con certificati probabilmente rubati e revocati da aziende cinesi. La firma del malware conferisce un'apparente legittimità, permettendo di bypassare i sistemi di sicurezza senza destare sospetti.

Una volta attivato, ABYSSWORKER aggiunge l'ID del processo a una lista di processi protetti a livello globale e ascolta le richieste di controllo I/O in arrivo, che vengono poi gestite dai relativi handler a seconda del codice di controllo I/O. Questi handler coprono un'ampia gamma di operazioni, dalla manipolazione dei file alla terminazione di processi e driver, offrendo così un set di strumenti completo per disabilitare i sistemi EDR.

Tra i codici di controllo I/O identificati, il codice 0x222400 è di particolare interesse poiché consente di accecare i prodotti di sicurezza cercando e rimuovendo tutti i callback di notifica registrati. Questa tecnica è stata adottata anche da altri strumenti di eliminazione EDR come EDRSandBlast e RealBlindingEDR.

I risultati seguono un report di Venak Security su come i criminali informatici stiano sfruttando un driver kernel legittimo ma vulnerabile associato al software antivirus ZoneAlarm di Check Point per ottenere privilegi elevati e disabilitare le funzionalità di sicurezza di Windows, come l'integrità della memoria. L'accesso privilegiato viene poi utilizzato per stabilire una connessione Remote Desktop Protocol (RDP) con i sistemi infetti, facilitando l'accesso persistente.

L'accesso privilegiato viene poi utilizzato per stabilire una connessione RDP con i sistemi infetti, facilitando l'accesso persistente. La falla è stata successivamente corretta da Check Point. Tuttavia, la vulnerabilità ha permesso ai criminali di accedere a informazioni sensibili come password e credenziali memorizzate.

Nel frattempo, l'operazione ransomware RansomHub è stata associata all'uso di un backdoor multi-funzione chiamato Betruger, impiantato per minimizzare il numero di nuovi strumenti introdotti nella rete durante la preparazione di un attacco ransomware. Betruger, con capacità di screenshotting, keylogging e dumping di credenziali, rappresenta una deviazione rispetto agli strumenti personalizzati solitamente utilizzati dai gruppi di ransomware.