BlackCat: rilevati nuovi metodi per la "defense evasion"

I ricercatori di sicurezza di Trend Micro hanno osservato una campagna di distribuzione del ransomware BlackCat che sfrutta nuove tecniche di elusione dei meccanismi di sicurezza tramite l’utilizzo di driver per sistemi operativi Windows opportunamente predisposti.

La catena di attacco prevede la distribuzione di un agent malevolo denominato “tjr.exe” sui dispositivi target al fine di rilasciare e caricare un driver opportunamente predisposto per il kernel di Windows denominato “ktgn.sys” all’interno della cartella temporanea di sistema.

Fonti: CSIRT Italia, TrendMicro