Novo ataque usa falha em software de CPU para desativar antivírus

Erik Silva
3 Min Read

Técnica desliga proteção antes de sequestrar dados

Uma nova tática de ataque cibernético se aproveita de uma falha em um programa gratuito de controle de processadores para desligar sistemas de segurança. A vulnerabilidade foi encontrada no ThrottleStop e permite que criminosos desativem proteções do tipo EDR, que servem para detectar e responder a ameaças em tempo real. Essa estratégia já foi observada em um incidente contra uma empresa brasileira.

Índice deste conteúdo

Os responsáveis pela exploração dessa brecha são os operadores do ransomware MedusaLocker. A ferramenta afetada é bastante utilizada por usuários domésticos para ajustar o desempenho de notebooks, mas acabou se tornando uma porta de entrada para invasões corporativas devido a um erro de programação.

A Kaspersky identificou que suas soluções já detectam e bloqueiam essa tentativa de exploração automaticamente. O desenvolvedor do software também já recebeu o alerta sobre o problema.

Como o ataque funciona

Os criminosos distribuem uma versão vulnerável do ThrottleStop junto com um código malicioso feito para derrubar as defesas do computador. Ao explorar o defeito, o invasor ganha acesso total à memória da máquina e consegue privilégios elevados para executar ações críticas.

Com esse acesso, os atacantes desligam ou interferem no funcionamento dos programas de proteção. Sem a barreira de segurança ativa, o ransomware MedusaLocker entra em ação para criptografar os arquivos da empresa e exigir o pagamento de resgate para liberar os dados.

Risco vem de ferramenta legítima

O MedusaLocker funciona no modelo de aluguel de código para crimes digitais e atua desde 2019. A investigação aponta que a maioria das vítimas recentes se concentra no Brasil e em países do leste europeu. Essa variante específica, capaz de anular a segurança, circula pelo menos desde outubro de 2024.

Especialistas explicam que o software alvo costuma rodar em laptops pessoais e não deveria estar em ambientes corporativos com regras rígidas. A presença dele em ataques a empresas mostra como ferramentas legítimas e populares podem virar armas quando possuem falhas graves, pois o erro permite que o programa interaja livremente com a memória do sistema.

Medidas de proteção recomendadas

Para reduzir os riscos desse tipo de ataque, que visa cegar as ferramentas de defesa, é necessário adotar práticas rigorosas de segurança:

  • Monitorar drivers e programas que possam ter falhas conhecidas;
  • Restringir acessos remotos e aplicar configurações de segurança reforçadas em servidores;
  • Limitar os privilégios de usuários e usar listas de aplicativos permitidos;
  • Exigir autenticação em duas etapas (MFA) para qualquer acesso remoto;
  • Manter todos os sistemas atualizados e fazer varreduras constantes por vulnerabilidades;
  • Utilizar ferramentas avançadas de monitoramento e resposta a incidentes;
  • Realizar testes de invasão frequentes para checar a resistência da rede.
ByErik Silva
Follow:
Jornalista, Redator, Editor e Social Mídia. Com experiência na administração de redes sociais, Designer Gráfico, elaboração e gerenciamento de sites CMS com especialização em WordPress e Web Service. SEO (Otimização de motores de busca). Mais de 10 anos de experiência com integração em Comunicação e Marketing
Artigo anterior Vazamento expõe 149 milhões de senhas e atinge contas do gov.br
Próximo artigo Galaxy A57 surge em imagens reais com corpo de 6,9 mm