A empresa de cibersegurança Kaspersky revelou a descoberta de uma vulnerabilidade crítica (CVE-2025-7771) na popular ferramenta gratuita ThrottleStop, utilizada para otimizar o desempenho de processadores em computadores portáteis. Esta falha, agora exposta, foi explorada por operadores do ransomware MedusaLocker num ataque recente a uma empresa no Brasil.
A vulnerabilidade serviu como porta de entrada para desativar as defesas do sistema, permitindo que os cibercriminosos encriptassem ficheiros valiosos. A Kaspersky, que fez a descoberta durante uma investigação de incidente, já reportou a falha ao fornecedor e confirmou que as suas soluções de segurança detetam e bloqueiam a ameaça.
Uma ferramenta popular transformada em arma
O ThrottleStop é um software amplamente utilizado por entusiastas que procuram ter um maior controlo sobre o processador (CPU) dos seus portáteis, seja para reduzir o consumo de energia ou para obter um melhor desempenho. No entanto, o que era uma ferramenta de otimização transformou-se numa arma nas mãos erradas.
No incidente analisado pela equipa de Resposta a Emergências Globais (GERT) da Kaspersky, os atacantes empacotaram o driver vulnerável ThrottleStop.sys com uma nova variante de malware desenhada especificamente para desativar soluções de segurança EDR (Endpoint Detection and Response).
A vulnerabilidade permitiu-lhes executar código malicioso ao nível mais profundo do sistema operativo (modo kernel), obtendo os privilégios mais elevados. Com as defesas desativadas, o caminho ficou livre para o ransomware MedusaLocker encriptar os dados da empresa vítima.
Segundo Cristian Souza, especialista da Kaspersky, o design inseguro do controlador, que expõe canais de comunicação diretos com a memória física, foi o calcanhar de Aquiles que os atacantes exploraram.
MedusaLocker: um velho conhecido com novos truques
O MedusaLocker não é um nome novo no panorama da cibersegurança. Descoberto em setembro de 2019, opera num modelo de Ransomware-as-a-Service e é conhecido por visar organizações em setores críticos como educação, saúde e tecnologia, principalmente na Europa e no Médio Oriente, com o objetivo de obter ganhos financeiros.
O que torna este incidente particularmente notável é a utilização de uma nova variante de um malware "EDR killer". Embora esta tática seja comum, a versão utilizada neste ataque parece ser recente, acreditando-se que esteja em circulação desde, pelo menos, outubro de 2024. Com base nos dados da Kaspersky, a maioria das vítimas de ataques que utilizam este malware específico localiza-se na Rússia, Bielorrússia, Cazaquistão, Ucrânia e Brasil.
Como se proteger deste tipo de ameaças
Perante ameaças cada vez mais sofisticadas, que combinam ferramentas legítimas com malware para contornar defesas, a Kaspersky recomenda um conjunto de boas práticas para as empresas:
Manter sistemas atualizados: Aplicar uma gestão de patches rigorosa e utilizar análise automatizada de vulnerabilidades.
- Limitar a exposição: Implementar práticas de reforço em servidores para os proteger de ataques de força bruta e restringir o acesso público a protocolos de acesso remoto.
- Princípio do privilégio mínimo: Aplicar o princípio de acesso com os privilégios mínimos necessários, listas brancas de aplicações, segmentação de rede e autenticação multifator (MFA) para acessos remotos.
- Utilizar soluções de segurança robustas: Implementar ferramentas como IDS/IPS e EDR para deteção de ameaças, bem como soluções com mecanismos de autodefesa integrados que impeçam a sua desativação por parte de malware.
- Monitorização e resposta: Realizar avaliações de segurança regulares e recorrer a serviços geridos de Deteção e Resposta (MDR) para identificar e mitigar ameaças de forma contínua.
Nenhum comentário
Seja o primeiro!