Afin de contourner les solutions de sécurité lors de ses attaques, le groupe de ransomware ALPHV (BlackCat) s’appuie sur un pilote de noyau Windows à la fois signé et malveillant. Faisons le point sur cette découverte signée Trend Micro.
Lors de cyberattaques, le groupe de ransomware ALPHV, alias BlackCat, utilise une version améliorée du malware POORTRY déjà bien connu et utilisé dans des attaques de type ransomware. D’ailleurs, le malware POORTRY se présente sous la forme d’un pilote de noyau Windows signé à l’aide de clés volées, ce qui lui permet d’être reconnu par Windows et d’apparaître légitime. Le problème, c’est que cette version est détectable, notamment parce que les clés de signature de code ont fait l’objet d’une révocation. Les pirates ont créé une nouvelle version signée avec d’autres clés, probablement volées elles aussi.
Puisqu’il s’agit d’un pilote de noyau Windows, le pilote malveillant utilisé par les pirates dispose du niveau de droits le plus élevé sur la machine locale : ce qui lui permet de mettre fin à la majorité des processus, y compris les processus correspondants aux solutions de sécurité. Ce qu’il n’hésite pas à faire.