Grupo de ransomware Qilin usa técnica BYOVD para desativar segurança

BR Defense Center (By River de Morais e Silva)
ransomware

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

Os pesquisadores destacam que a primeira etapa do ataque envolve um carregador PE que prepara o ambiente para o componente que desativa os EDR. O malware utiliza técnicas sofisticadas para evitar a detecção, como neutralizar hooks em modo usuário e suprimir logs de eventos do Windows. Após a ativação, o malware utiliza dois drivers renomeados para acessar a memória física do sistema e encerrar processos de segurança.

Estatísticas indicam que o Qilin se tornou o grupo de ransomware mais ativo, responsável por 16,4% dos incidentes de ransomware no Japão em 2025. A execução do ransomware ocorre em média seis dias após a violação inicial, ressaltando a importância da detecção precoce de atividades maliciosas. Para mitigar essas ameaças, recomenda-se permitir apenas drivers assinados de editores confiáveis e monitorar eventos de instalação de drivers.

Fonte: https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
06/04/2026 • Risco: ALTO
RANSOMWARE

Grupo de ransomware Qilin usa técnica BYOVD para desativar segurança

RESUMO EXECUTIVO
O uso de técnicas como BYOVD por grupos de ransomware como Qilin e Warlock representa uma ameaça significativa para a segurança cibernética. A desativação de EDRs pode levar a violações de dados e extorsão, exigindo que as organizações adotem medidas rigorosas de governança de drivers e monitoramento em tempo real.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos significativos associados a violações de segurança e extorsão.
Operacional
Desativação de ferramentas de segurança e potencial para extorsão.
Setores vulneráveis
['Setores de tecnologia, finanças e saúde']

📊 INDICADORES CHAVE

Qilin responsável por 16,4% dos incidentes de ransomware no Japão em 2025. Indicador
Mais de 300 drivers de EDR desativados. Contexto BR
Execução do ransomware em média seis dias após a violação inicial. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de drivers não autorizados e DLLs maliciosos.
2 Implementar políticas de segurança que restrinjam a instalação de drivers a fontes confiáveis.
3 Monitorar continuamente atividades de instalação de drivers e logs de eventos de segurança.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a eficácia das ferramentas de segurança em face de ataques sofisticados que visam desativá-las.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD em caso de vazamentos de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).