Byovd

Recentemente, os grupos de ransomware Qilin e Warlock têm utilizado a técnica conhecida como ‘bring your own vulnerable driver’ (BYOVD) para desativar ferramentas de segurança em sistemas comprometidos. A análise realizada pela Cisco Talos revelou que o Qilin emprega um DLL malicioso chamado ‘msimg32.dll’, que inicia uma cadeia de infecção em múltiplas etapas, visando desativar soluções de detecção e resposta em endpoints (EDR). Este DLL é capaz de encerrar mais de 300 drivers de EDR de diversos fornecedores.

Uma campanha de malvertising em larga escala, ativa desde janeiro de 2026, está direcionada a indivíduos nos EUA que buscam documentos fiscais, utilizando anúncios fraudulentos para instalar o ConnectWise ScreenConnect. Essa instalação entrega uma ferramenta chamada HwAudKiller, que utiliza a técnica de ‘bring your own vulnerable driver’ (BYOVD) para desativar programas de segurança. A pesquisa da Huntress identificou mais de 60 sessões maliciosas do ScreenConnect ligadas a essa campanha. O ataque se destaca por empregar serviços de camuflagem comercial para evitar a detecção e por abusar de um driver de áudio da Huawei, que é legítimo e assinado, para desarmar soluções de segurança. Embora os objetivos exatos da campanha não sejam claros, há indícios de que o ator da ameaça busca implantar ransomware ou monetizar o acesso obtido. O ataque começa quando usuários clicam em resultados de busca patrocinados que os direcionam a sites falsos, onde o instalador do ScreenConnect é entregue. A complexidade da campanha, que combina ferramentas comerciais e técnicas sofisticadas, destaca a crescente acessibilidade de ataques cibernéticos avançados.

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Reynolds, que incorpora um componente de ‘bring your own vulnerable driver’ (BYOVD) para evadir defesas. O BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desativar soluções de Detecção e Resposta de Endpoint (EDR), permitindo que atividades maliciosas passem despercebidas. Neste caso, o ransomware inclui um driver vulnerável da NsecSoft, que é utilizado para encerrar processos de programas de segurança como Avast e Symantec. Essa abordagem não é nova, tendo sido observada em ataques anteriores, como o Ryuk em 2020. Além disso, a campanha Reynolds também utilizou um loader suspeito semanas antes do ransomware ser implantado, e um programa de acesso remoto foi instalado um dia após a infecção. A técnica BYOVD é popular entre atacantes devido à sua eficácia e ao uso de arquivos legítimos, que não levantam suspeitas. O aumento da atividade de ransomware, com 4.737 ataques registrados em 2025, destaca a necessidade de vigilância constante e atualização das defesas de segurança.

Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.