Pesquisadores observaram que o grupo Interlock emprega uma ferramenta de evasão que abusa de um driver de anti‑cheat vulnerável para executar comandos em kernel e encerrar processos de segurança antes da criptografia.
Resumo da técnica
O conjunto de ferramentas usado pelo Interlock inclui uma peça chamada "Hotta Killer", que adota a técnica Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD). O método consiste em dropar uma versão renomeada de um driver legítimo de anti‑cheat afetado por vulnerabilidade (referida no material como GameDriverx64.sys, vinculada ao CVE‑2025‑61155) — o driver renomeado é carregado para executar operações privilegiadas no kernel e manipular a execução de processos do sistema.
Como a evasão funciona na prática
A ferramenta implementa um DLL injector (polers.dll) que interage com o driver malicioso ao criar links simbólicos e passar IDs de processos alvo. Relatos indicam que processos associados a soluções de segurança (ex.: nomes que casam com "Forti*.exe") são especificamente visados para terminação via operações no kernel. O efeito prático é "cegar" EDR/AV no estágio final do ataque, facilitando movimentação lateral e criptografia.
Alvo e alcance
O Interlock tem foco observado no setor educacional do Reino Unido e EUA, e opera como um grupo menor, não tanto no modelo RaaS quanto como uma equipe que desenvolve e controla sua cadeia de ataque. Além do módulo de evasão, eles usam ferramentas como MintLoader e implantes JavaScript (NodeSnakeRAT) para acesso inicial, e empregam utilitários como AZCopy para exfiltração antes da extorsão.
Mitigações recomendadas
- Bloquear execução de software de acesso remoto não autorizado e restringir políticas de instalação de drivers não aprovados;
- Aplicar bloqueios a execução de drivers sem assinatura ou de origem duvidosa via políticas de segurança do kernel (Device Guard/Kernel mode signing policies onde aplicável);
- Monitorar cargas e subsistemas de drivers recém‑instalados, e alertar para criação de links simbólicos ou chamadas IOCTL incomuns;
- Restringir conexões SMB/RDP entre estações e limitar privilégios administrativos; revisar logs para ações realizadas por ferramentas de administração legítimas e identificar anomalias.
Observações e lacunas
A descrição técnica baseia‑se em pesquisa publicada por especialistas (relatada em veículo de segurança). Faltam, na divulgação pública, IOCs completos e amostras reproduzíveis que permitam bloqueio amplo automatizado. Também não está claro se o driver vulnerável tem ampla distribuição entre fornecedores de anti‑cheat ou se a exploração depende de versões específicas; organizações devem tratar qualquer driver não gerenciado como risco potencial.
Conclusão
O uso de BYOVD por grupos criminais continua a ser uma técnica eficaz contra defensores: aproveitar drivers legítimos com vulnerabilidades conhecidas reduz a necessidade de exploits complexos e permite operações com privilégios elevados. A combinação de exfiltração via cloud e ferramentas para desativar defesas torna o Interlock um ator perigoso para ambientes com controles fracos de kernel e gestão de drivers.
Fonte: Cyber Security News (relato com referência a análises técnicas)