Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.
Fonte: https://www.bleepingcomputer.com/news/security/edr-killer-tool-uses-signed-kernel-driver-from-forensic-software/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
04/02/2026 • Risco: ALTO
MALWARE
Hackers exploram driver revogado para desativar ferramentas de segurança
RESUMO EXECUTIVO
O ataque destaca a vulnerabilidade de sistemas que dependem de drivers de kernel, especialmente aqueles que não implementam MFA. A exploração de um driver revogado pode resultar em desativação de ferramentas de segurança críticas, aumentando o risco de compromissos de dados e ataques de ransomware.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a interrupções e recuperação de incidentes de ransomware.
Operacional
Desativação de 59 processos de segurança e potencial para um ataque de ransomware.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
59 processos de segurança desativados
Indicador
SYN flooding superior a 370 SYNs/sec
Contexto BR
Driver certificado expirado desde 2010
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a implementação de MFA em todos os serviços de acesso remoto.
2
Desativar qualquer driver suspeito e monitorar logs de VPN para atividades anômalas.
3
Monitorar continuamente serviços de kernel que se disfarçam como componentes de hardware OEM.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a vulnerabilidade das ferramentas de segurança que utilizam, especialmente em relação a ataques que exploram drivers revogados.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
