Novo 'EDR Killer' Descoberto: Malware Explora Falha em Software de CPU para Desativar Defesas e Atacar Empresas Brasileiras

imagem gerada por IA

Flavio Sartori 

A empresa de cibersegurança Kaspersky revelou a descoberta de uma nova e perigosa variante de malware, apelidada de "EDR killer", que está sendo utilizada em conjunto com uma vulnerabilidade no software gratuito ThrottleStop para desativar programas de proteção de endpoints (EDRs) e, em seguida, instalar o ransomware MedusaLocker. O ataque, que já atingiu uma empresa brasileira, representa uma escalada nas táticas de evasão de segurança.

A investigação da Kaspersky detalha que os operadores do ransomware MedusaLocker exploraram uma falha no ThrottleStop, uma ferramenta popular e gratuita usada para monitorar e controlar o desempenho da CPU de laptops. Ao combinar essa vulnerabilidade com um novo malware, os criminosos conseguem reduzir as defesas do sistema, desligando os programas de proteção EDRs. Com a proteção desativada, o ransomware é executado, criptografando arquivos e exigindo pagamento para a liberação.

Apesar de o ThrottleStop ser tipicamente um software voltado para uso pessoal em laptops, a sua presença em um ambiente corporativo foi o ponto de entrada para o ataque. Cristian Souza, especialista da Equipe Global de Resposta a Emergências (GERT) da Kaspersky, explica a gravidade da exploração:

“O ThrottleStop é um programa voltado para uso em laptops pessoais — normalmente, não é usado por empresas por causa de políticas de cibersegurança mais rígidas. No caso analisado, ele foi enviado junto com um malware que visa desativar diferentes EDRs (programas de proteção). A versão vulnerável permite que o software tenha acesso completo à memória do computador, o que pode ser explorado por criminosos para assumir o controle total do sistema e executar ações com privilégios elevados.”

O malware projetado para desativar softwares de segurança, embora seja uma tática conhecida, apresenta uma variante relativamente recente, em circulação desde, pelo menos, outubro de 2024. O MedusaLocker, descoberto em 2019, opera como um modelo de Ransomware-as-a-Service (RaaS), o que permite que diferentes grupos criminosos o modifiquem para atingir diversos setores.

Segundo a Kaspersky, a maioria das vítimas do MedusaLocker está concentrada em países como Brasil, Rússia, Bielorrússia, Cazaquistão e Ucrânia, ressaltando a relevância da ameaça para o cenário nacional.

Souza enfatiza que a defesa contra essa nova tática reside na capacidade de autoproteção das soluções de segurança: “Este caso ressalta a importância de usar soluções de cibersegurança com mecanismos de autodefesa integrados, capazes de impedir a alteração ou o encerramento de processos em memória, a eliminação de arquivos de aplicações no disco rígido e alterações nas entradas do registo do sistema.”

A vulnerabilidade no ThrottleStop já foi reportada ao fornecedor, e a Kaspersky confirmou que suas soluções detectam e bloqueiam o ataque. Para mitigar ataques semelhantes e fortalecer a postura de segurança, a empresa de cibersegurança recomenda que as organizações sigam as seguintes práticas:

• Monitoramento de Drivers: Utilizar soluções de segurança que possam monitorar e identificar a presença de drivers vulneráveis conhecidos no sistema operacional.
• Hardening e Acesso Remoto: Implementar práticas de hardening para proteger os servidores contra ataques e limitar o acesso remoto apenas para quando estritamente necessário.
• Controle de Acesso e Segmentação: Limitar acessos apenas ao necessário, usar listas de aplicativos confiáveis (whitelists), segmentar a rede em partes seguras e exigir autenticação via múltiplos fatores (MFA) para acesso remoto.
• Atualização e Testes: Manter sistemas e softwares atualizados, realizar análises de vulnerabilidades, usar ferramentas como IDS/IPS e EDR para detectar ameaças, monitorar atividades e registrar eventos, além de conduzir avaliações de segurança e testes de invasão regularmente.
• Serviços Gerenciados (MDR/IR): Adotar serviços como Kaspersky Managed Detection and Response (MDR) e/ou Kaspersky Incident Response, cobrindo todo o ciclo de gestão de incidentes, o que é crucial mesmo para empresas sem profissionais de cibersegurança dedicados.
• A Kaspersky também sugere a utilização de soluções da linha de produtos Kaspersky Next, que oferecem proteção em tempo real, visibilidade das ameaças e recursos de resposta EDR e XDR para organizações de qualquer porte e setor. A análise detalhada do caso está disponível no Securelist.com.