Atores de ameaças associados às operações de ransomware **Qilin** e **Warlock** foram observados utilizando a técnica bring your own vulnerable driver (**BYOVD**) para silenciar ferramentas de segurança em execução em hosts comprometidos, de acordo com descobertas da **Cisco Talos** e **Trend Micro**. ### O Assassinador de EDR do Qilin Os ataques do **Qilin** analisados pela **Talos** foram encontrados implantando uma DLL maliciosa chamada "msimg32.dll", que inicia uma cadeia de infecção em várias etapas para desabilitar soluções de detecção e resposta de endpoint (EDR). A DLL, lançada via DLL side-loading, é capaz de encerrar mais de 300 drivers de EDR de quase todos os fornecedores de segurança do mercado. "O primeiro estágio consiste em um PE loader responsável por preparar o ambiente de execução para o componente EDR killer", disseram os pesquisadores da **Talos**, Takahiro Takeda e Holger Unterbrink. "Esta carga útil secundária está incorporada no loader em forma criptografada." O loader da DLL implementa uma série de técnicas para evadir a detecção. Ele neutraliza hooks em modo de usuário, suprime logs de eventos do Event Tracing for Windows (ETW) e toma medidas para ocultar o fluxo de controle e os padrões de invocação de API. Como resultado, ele permite que a carga útil principal do EDR killer seja descriptografada, carregada e executada inteiramente na memória, passando completamente despercebida. Uma vez lançado, o malware utiliza dois drivers: * rwdrv.sys, uma versão renomeada de "ThrottleStop.sys" que é usada para obter acesso à memória física do sistema e atuar como uma camada de acesso a hardware em modo kernel. * hlpdrv.sys, para encerrar processos associados a mais de 300 drivers de EDR diferentes pertencentes a várias soluções de segurança. Vale notar que ambos os drivers foram usados como parte de ataques **BYOVD** realizados em conjunto com intrusões de ransomware **Akira** e **Makop**. "Antes de carregar o segundo driver, o componente EDR killer desregistra os callbacks de monitoramento estabelecidos pelo EDR, garantindo que o encerramento do processo possa prosseguir sem interferência", disse a **Talos**. "Isso demonstra os truques sofisticados que o malware está empregando para contornar ou desabilitar completamente os recursos modernos de proteção EDR em sistemas comprometidos." De acordo com estatísticas compiladas pela **CYFIRMA** e **Cynet**, o **Qilin** emergiu como o grupo de ransomware mais ativo nos últimos meses, reivindicando centenas de vítimas. O grupo foi associado a 22 de 134 incidentes de ransomware relatados no Japão em 2025, representando 16,4% de todos os ataques.  "O **Qilin** depende principalmente de credenciais roubadas para obter acesso inicial", disse a **Talos**. "Após violar com sucesso um ambiente alvo, o grupo dá ênfase considerável às atividades pós-comprometimento, permitindo-lhe expandir metodicamente seu controle e maximizar o impacto." O fornecedor de cibersegurança também observou que a execução do ransomware ocorreu, em média, cerca de seis dias após o comprometimento inicial, destacando a necessidade de as organizações detectarem atividades maliciosas no estágio mais inicial possível e prevenirem a implantação de ransomware.  ### Técnicas Evasivas do Warlock A divulgação ocorre enquanto o grupo de ransomware **Warlock** (também conhecido como Water Manaul) continua a explorar servidores **Microsoft** SharePoint desatualizados, enquanto atualiza seu conjunto de ferramentas para aprimorar persistência, movimento lateral e evasão de defesa. Isso inclui o uso de **TightVNC** para controle persistente e um driver legítimo, mas vulnerável, **NSec** ("NSecKrnl.sys") em um ataque **BYOVD** para encerrar produtos de segurança no nível do kernel, substituindo o driver "googleApiUtil64.sys" usado em campanhas anteriores. Também observados durante o ataque do **Warlock** em janeiro de 2026 estavam as seguintes ferramentas: * **PsExec**, para movimento lateral. * RDP Patcher, para facilitar sessões RDP concorrentes. * **Velociraptor**, para comando e controle (C2). * Visual Studio Code e **Cloudflare** Tunnel, para tunelamento de comunicações C2. * **Yuze**, para penetração na intranet e estabelecimento de uma conexão de proxy reverso para o servidor C2 do atacante via HTTP (porta 80), HTTPS (porta 443) e DNS (porta 53). * Rclone, para exfiltração de dados. ### Estratégias de Mitigação Para combater ameaças **BYOVD**, recomenda-se permitir apenas drivers assinados de publicadores explicitamente confiáveis, monitorar eventos de instalação de drivers e manter um cronograma rigoroso de gerenciamento de patches para atualizar softwares de segurança, especialmente aqueles com componentes baseados em drivers que podem ser explorados. "A dependência do **Warlock** em drivers vulneráveis para desabilitar controles de segurança requer uma defesa em várias camadas focada na integridade do kernel", disse a **Trend Micro**. "Portanto, as organizações devem atualizar da proteção básica de endpoint para impor governança rigorosa de drivers e monitoramento em tempo real de atividades em nível de kernel."