Byovd

O grupo de ransomware Gentlemen, que opera como um serviço (RaaS), tem se destacado por desenvolver uma série de ferramentas para desativar sistemas de detecção e resposta de endpoint (EDR) antes de implementar seu software de criptografia. Conhecido como GentleKiller, esse conjunto de ferramentas é distribuído a afiliados e inclui variantes que imitam produtos legítimos de segurança, utilizando informações falsas de versão e certificados copiados. Desde sua aparição em março de 2025, o grupo já reivindicou 504 vítimas, principalmente na Ásia, América do Sul e Europa Ocidental. O líder da operação, Alexander Andreevich Yapaev, tem um histórico como afiliado em outros esquemas de ransomware. A equipe de segurança da ESET destacou a agilidade do grupo em operacionalizar novas vulnerabilidades, especialmente a técnica chamada ‘bring your own vulnerable driver’ (BYOVD), que permite a exploração de drivers vulneráveis para comprometer sistemas. Além disso, o Gentlemen também utiliza um ladrão de credenciais baseado em Rust, chamado OxideHarvest, que coleta dados de navegadores populares. A centralização da função de desativação de EDRs torna o grupo atraente para novos afiliados, reduzindo as barreiras de entrada e facilitando a execução de ataques.

O ransomware Gentlemen, operando como um serviço (RaaS), está aprimorando suas capacidades com um conjunto de ferramentas projetadas para desativar sistemas de detecção e resposta de endpoint (EDR). A principal ferramenta, chamada GentleKiller, possui pelo menos oito variantes que se disfarçam como produtos de segurança legítimos, como Kaspersky e Valorant. Essas ferramentas são utilizadas para neutralizar defesas durante os ataques, permitindo que processos de roubo ou criptografia de dados ocorram sem obstáculos. A técnica ‘bring your own vulnerable driver’ (BYOVD) é empregada para elevar privilégios e desativar motores de segurança, com cada variante do GentleKiller utilizando drivers vulneráveis diferentes para alcançar privilégios de nível kernel. A análise indica que o grupo também utiliza ferramentas externas, como HexKiller e ThrottleBlood, para aumentar a eficácia de seus ataques. O Gentlemen RaaS já comprometeu a fornecedora de energia romena Oltenia e está associado a uma botnet de malware proxy chamada SystemBC. Dada a complexidade e a sofisticação das ferramentas utilizadas, a ameaça representa um risco significativo para empresas que utilizam as tecnologias afetadas.

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

Uma campanha de malvertising em larga escala, ativa desde janeiro de 2026, está direcionada a indivíduos nos EUA que buscam documentos fiscais, utilizando anúncios fraudulentos para instalar o ConnectWise ScreenConnect. Essa instalação entrega uma ferramenta chamada HwAudKiller, que utiliza a técnica de ‘bring your own vulnerable driver’ (BYOVD) para desativar programas de segurança. A pesquisa da Huntress identificou mais de 60 sessões maliciosas do ScreenConnect ligadas a essa campanha. O ataque se destaca por empregar serviços de camuflagem comercial para evitar a detecção e por abusar de um driver de áudio da Huawei, que é legítimo e assinado, para desarmar soluções de segurança. Embora os objetivos exatos da campanha não sejam claros, há indícios de que o ator da ameaça busca implantar ransomware ou monetizar o acesso obtido. O ataque começa quando usuários clicam em resultados de busca patrocinados que os direcionam a sites falsos, onde o instalador do ScreenConnect é entregue. A complexidade da campanha, que combina ferramentas comerciais e técnicas sofisticadas, destaca a crescente acessibilidade de ataques cibernéticos avançados.

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Reynolds, que incorpora um componente de ‘bring your own vulnerable driver’ (BYOVD) para evadir defesas. O BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desativar soluções de Detecção e Resposta de Endpoint (EDR), permitindo que atividades maliciosas passem despercebidas. Neste caso, o ransomware inclui um driver vulnerável da NsecSoft, que é utilizado para encerrar processos de programas de segurança como Avast e Symantec. Essa abordagem não é nova, tendo sido observada em ataques anteriores, como o Ryuk em 2020. Além disso, a campanha Reynolds também utilizou um loader suspeito semanas antes do ransomware ser implantado, e um programa de acesso remoto foi instalado um dia após a infecção. A técnica BYOVD é popular entre atacantes devido à sua eficácia e ao uso de arquivos legítimos, que não levantam suspeitas. O aumento da atividade de ransomware, com 4.737 ataques registrados em 2025, destaca a necessidade de vigilância constante e atualização das defesas de segurança.

Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.