Grup ransomware ALPHV alias BlackCat diamati menggunakan driver kernel Windows berbahaya yang ditandatangani untuk menghindari deteksi oleh perangkat lunak keamanan selama serangan.
Trend Micro melihat penggerak versi perbaikan dari malware ‘POORTRY’ yang ditemukan Microsoft, Mandiant, Sophos, dan SentinelOne dalam serangan ransomware akhir tahun lalu.
Malware POORTRY adalah driver kernel Windows yang ditandatangani menggunakan kunci curian milik akun yang sah di Program Pengembang Perangkat Keras Windows Microsoft.
Driver jahat ini digunakan oleh grup peretasan UNC3944 atau 0ktapus dan Scattered Spider, untuk menghentikan perangkat lunak keamanan yang berjalan di perangkat Windows agar terhindar dari deteksi.
Hacker menyebarkan versi terbaru dari driver kernel POORTRY yang ditandatangani menggunakan sertifikat tanda tangan silang yang dicuri atau bocor.
Driver baru yang digunakan oleh operasi ransomware BlackCat membantu mereka meningkatkan hak istimewa mereka pada mesin yang dikompromikan dan kemudian menghentikan proses yang berkaitan dengan agen keamanan.
Hal ini juga dapat memberikan tautan longgar antara geng ransomware dan grup peretasan UNC3944/Scattered Spider.
Driver bertanda tangan yang dilihat oleh Trend Micro pada Februari 2023 Serangan BlackCat adalah ‘ktgn.sys,’ dimasukkan ke sistem file korban di folder %Temp% dan kemudian dimuat oleh program mode pengguna bernama ‘tjr.exe.’
Administrator sistem disarankan untuk menggunakan indikator penyusupan yang dibagikan oleh Trend Micro dan menambahkan driver jahat yang digunakan oleh pelaku ransomware ke daftar blokir driver Windows.
Kemudian Admin Windows harus memastikan bahwa ‘Driver Signature Enforcement’ diaktifkan, yang memblokir penginstalan driver apa pun yang tidak memiliki tanda tangan digital yang valid.
Selengkapnya: BleepingComputer
