Ransomware BlackCat : un pilote de noyau Windows malveillant utilisé dans les cyberattaques !
Afin de contourner les solutions de sécurité lors de ses attaques, le groupe de ransomware ALPHV (BlackCat) s'appuie sur un pilote de noyau Windows à la fois signé et malveillant. Faisons le point sur cette découverte signée Trend Micro.
Lors de cyberattaques, le groupe de ransomware ALPHV, alias BlackCat, utilise une version améliorée du malware POORTRY déjà bien connu et utilisé dans des attaques de type ransomware. D'ailleurs, le malware POORTRY se présente sous la forme d'un pilote de noyau Windows signé à l'aide de clés volées, ce qui lui permet d'être reconnu par Windows et d'apparaître légitime. Le problème, c'est que cette version est détectable, notamment parce que les clés de signature de code ont fait l'objet d'une révocation. Les pirates ont créé une nouvelle version signée avec d'autres clés, probablement volées elles aussi.
Puisqu'il s'agit d'un pilote de noyau Windows, le pilote malveillant utilisé par les pirates dispose du niveau de droits le plus élevé sur la machine locale : ce qui lui permet de mettre fin à la majorité des processus, y compris les processus correspondants aux solutions de sécurité. Ce qu'il n'hésite pas à faire.
C'est en février 2023 que Trend Micro a repéré ce pilote signé et malveillant utilisé par le gang BlackCat. Lors des attaques observées, le pilote s'appelait "ktgn.sys" et il était déposé sur la machine de la victime dans le dossier "%Temp%", avant d'être par un programme nommé "tjr.exe". Les chercheurs en sécurité de Trend Micro affirment que la signature numérique du pilote ktgn.sys a été révoquée, mais que, malgré tout, le pilote se charge toujours sans problème sur une machine Windows dont les politiques de signature sont appliquées.
Sur la machine infectée, le programme "tjr.exe" est exécuté avec les droits de l'utilisateur, mais il est utilisé pour exécuter des commandes via le pilote malveillant, ce qui permet à l'attaquant d'agir avec les droits "système" sur Windows. Plusieurs commandes sont accessibles via le programme "tjr.exe", notamment la possibilité de tuer un processus, de copier des fichiers, ou encore de supprimer des fichiers.
Entre le ransomware BlackCat en lui-même et ce malware qui prend la forme d'un pilote de noyau Windows, ce groupe de cybercriminels dispose d'un arsenal redoutable...! Le rapport de Trend Micro est disponible ici.
