Ataques de ransomware Qilin e Warlock estao explorando drivers vulneraveis para desativar ferramentas de seguranca em mais de 300 solucoes EDR. Entenda como isso acontece e como se proteger.
Os ransomwares Qilin e Warlock estao usando drivers vulneraveis para desativar mais de 300 ferramentas de seguranca, explorando tecnicas sofisticadas para evitar deteccao.
Os ransomwares Qilin e Warlock estao se destacando por sua capacidade de desativar ferramentas de seguranca em sistemas comprometidos. Eles utilizam a tecnica de trazer seu proprio driver vulneravel (BYOVD) para executar essa tarefa, tornando-se uma ameaca significativa para empresas que dependem de solucoes de deteccao e resposta de endpoint (EDR).
Esses ransomwares empregam um DLL malicioso chamado "msimg32.dll" que inicia uma cadeia de infeccao em varias etapas. O DLL e carregado atraves de "DLL side-loading" e e capaz de desativar mais de 300 drivers EDR de quase todos os fornecedores de seguranca do mercado. Para isso, utiliza tecnicas para evitar deteccao, como neutralizar hooks de modo usuario e suprimir logs de eventos do Windows.
Para identificar possiveis ataques, fique atento aos seguintes sinais:
Para se proteger contra esses ataques, considere as seguintes medidas:
BYOVD significa "Bring Your Own Vulnerable Driver", uma tecnica usada para explorar drivers vulneraveis e desativar ferramentas de seguranca.
Fique atento a sinais como desativacao de seguranca e desempenho anormal do sistema.
Mantenha seus sistemas atualizados, use solucoes de seguranca robustas e realize auditorias regulares.
Conte com a LC Sec para garantir a seguranca da sua empresa contra ataques de ransomware e outras ameacas ciberneticas.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao, SGSI, Plano Diretor de Seguranca e Auditoria Interna. lcsec.io
Fontes:
https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html