Relatório de analistas aponta que o grupo Black Basta passou a embutir um componente “Bring Your Own Vulnerable Driver” (BYOVD) dentro do próprio payload de ransomware, técnica observada em campanha examinada pela Symantec.
Descoberta e escopo
Analistas da Symantec identificaram uma mudança tática em campanhas recentes do Black Basta: o ransomware agora carrega internamente um driver de kernel assinado, vulnerável, para neutralizar produtos de segurança no host alvo. Essa integração elimina a necessidade de implantar ferramentas de evasão separadas antes da fase de criptografia, acelerando a cadeia de ataque.
Operacionalidade do componente BYOVD
O driver identificado foi reportado como NsecSoft NSecKrnl e está associado a uma falha rastreada como CVE‑2025‑68947 nos materiais de análise. Segundo o relatório, o payload deixa o driver no sistema, cria um serviço e passa a emitir requisições I/O control maliciosas que exploram a validação deficiente de permissões do driver para terminar processos de segurança.
Entre os processos mencionados como alvos estão agentes de proteção típicos (por exemplo, SophosHealth.exe e MsMpEng.exe). Com esses serviços neutralizados, o ransomware consegue renomear e encriptar arquivos — observou‑se a extensão ".locked" sendo aplicada sem impedimento de agentes de defesa.
Vetor temporal e sinais de dwell
Os analistas notaram a presença prévia de um loader com side‑loading em redes afetadas semanas antes da ativação do ransomware, o que indica tempo de permanência (dwell time) considerável e preparação da cadeia de ataque.
Impacto e implicações
A técnica BYOVD reduz a janela de resposta operacional disponível às equipes de defesa: ao empacotar evasion em um único binário, invasores diminuem artefatos separados e aumentam a probabilidade de execução bem‑sucedida antes da detecção. A reutilização de um driver legítimo e assinado agrava o problema, pois a confiança no artefato assinado pode retardar ações automáticas de bloqueio.
Mitigações e recomendações
- Verificar atualizações e comunicados de fornecedores sobre drivers assinados — consultar bulletins oficiais (Symantec) para indicadores de compromisso (IOCs).
- Aplicar listas de bloqueio e políticas de integridade para drivers instalados, monitorando criação de serviços e carregamento de drivers recém‑inseridos no sistema.
- Hardenização de endpoints: limitar a capacidade de usuários e serviços não‑autorizados para registrar e iniciar drivers.
- Monitorar eventos de side‑loading e alterações em serviços do Windows, correlacionando com escaladas de permissões em kernel.
Observações finais
O relatório da Symantec, citado pelo Cyber Security News, sugere uma possível tendência: famílias de ransomware podem começar a integrar componentes vulneráveis e assinados diretamente em seus payloads para contornar controles modernos. Organizações devem priorizar inspeção de drivers e políticas de execução em kernel, dado o risco elevado associado a RCE/elevação de privilégios via componentes em ring‑0.
Fonte da investigação: Symantec, via Cyber Security News.