Qilin i Warlock Ransomware wykorzystują podatne sterowniki do wyłączania ponad 300 narzędzi EDR

Współczesny krajobraz cyberzagrożeń ewoluuje w tempie, które wyprzedza tradycyjne mechanizmy obronne, a najnowsze raporty bezpieczeństwa od Cisco Talos oraz Trend Micro rzucają światło na wyjątkowo skuteczną metodę stosowaną przez grupy ransomware. Operatorzy powiązani z operacjami Qilin oraz Warlock zaczęli masowo wykorzystywać technikę znaną jako BYOVD (Bring Your Own Vulnerable Driver). Celem jest całkowite oślepienie systemów ochrony poprzez wyłączenie ponad 300 narzędzi klasy EDR (Endpoint Detection and Response), co otwiera hakerom drogę do nieskrępowanej eksfiltracji danych i szyfrowania zasobów.

Skala problemu jest potężna, ponieważ technika ta uderza w fundament zaufania do systemów operacyjnych. Wykorzystując legalne, ale podatne na ataki sterowniki, napastnicy zyskują uprawnienia na poziomie jądra systemu (kernel), co pozwala im na manipulowanie procesami, których teoretycznie nie powinien dotykać żaden zewnętrzny program. Według analizy Zscaler ThreatLabz 2026 VPN Risk Report, postępująca integracja sztucznej inteligencji w narzędziach ofensywnych drastycznie skróciła czas reakcji człowieka, czyniąc dostęp zdalny najszybszą ścieżką do naruszenia infrastruktury korporacyjnej.

Anatomia ataku Qilin i biblioteka msimg32.dll

Analiza przeprowadzona przez ekspertów z Cisco Talos wykazała, że ataki grupy Qilin charakteryzują się precyzyjnym przygotowaniem środowiska pod przyszłą infekcję. Kluczowym elementem arsenału jest złośliwa biblioteka DLL o nazwie msimg32.dll. Po jej wstrzyknięciu do systemu, malware inicjuje procedurę identyfikacji zainstalowanych rozwiązań bezpieczeństwa. Nie jest to działanie przypadkowe – lista celów obejmuje setki produktów od czołowych dostawców technologii obronnych.

Gdy system ochrony zostanie zidentyfikowany, grupy Qilin i Warlock ładują na zainfekowaną maszynę legalny, podpisany cyfrowo sterownik, który posiada znaną lukę bezpieczeństwa. Ponieważ sterownik jest zaufany przez system operacyjny, mechanizmy kontroli Windows pozwalają na jego uruchomienie. Napastnicy następnie wykorzystują wspomnianą lukę, aby wykonać kod z najwyższymi uprawnieniami, co pozwala im na siłowe zakończenie procesów antywirusowych i narzędzi monitorujących, zanim te zdążą wysłać alert do administratorów.

• Liczba neutralizowanych narzędzi: Ponad 300 unikalnych rozwiązań EDR i antywirusowych.
• Kluczowy komponent: Złośliwa biblioteka msimg32.dll.
• Technika: BYOVD (Bring Your Own Vulnerable Driver) wykorzystująca luki w legalnym oprogramowaniu.
• Skutek: Całkowita bezbronność hosta przed szyfrowaniem danych.

Warlock i automatyzacja paraliżu systemów obronnych

Grupa Warlock, działająca często w podobnym paradygmacie co Qilin, stawia na automatyzację procesu eliminacji zabezpieczeń. Wykorzystanie techniki BYOVD pozwala im na ominięcie zabezpieczeń, które do tej pory uważano za skuteczne przeciwko ransomware. Tradycyjne rozwiązania oparte na sygnaturach lub analizie behawioralnej często zawodzą, gdy samo narzędzie monitorujące zostaje "zabite" na poziomie jądra. Jest to walka na poziomie, gdzie oprogramowanie zabezpieczające ma najmniej punktów styku z użytkownikiem, a najwięcej z niskopoziomową architekturą procesora i pamięci.

W raporcie Cybersecurity Insiders, na który powołuje się Zscaler, podkreślono, że luki w dostępie zdalnym i VPN-ach są obecnie najpopularniejszym punktem wejścia dla grup takich jak Warlock. Gdy napastnik znajdzie się wewnątrz sieci, jego priorytetem nie jest natychmiastowe szyfrowanie, lecz "wyciszenie" otoczenia. Dzięki technice BYOVD, proces ten stał się niemal niewidoczny dla standardowych centrów operacji bezpieczeństwa (SOC). Wyłączenie 300 różnych narzędzi sugeruje, że grupy te dysponują obszerną bazą danych exploitów na sterowniki pochodzące od producentów sprzętu, komponentów gamingowych czy narzędzi diagnostycznych.

Zastosowanie AI przez cyberprzestępców dodatkowo komplikuje sytuację. Automatyczne skanowanie systemów w poszukiwaniu konkretnych wersji sterowników, które można wykorzystać do ataku BYOVD, drastycznie przyspiesza fazę przygotowawczą (reconnaissance). Według Zscaler ThreatLabz, okno czasowe, w którym człowiek może zareagować na włamanie, praktycznie przestało istnieć. Atak następuje z prędkością maszynową, a wyłączenie EDR jest tylko jednym z pierwszych kroków w długim łańcuchu ataku.

Kryzys zaufania do podpisanych sterowników

Problem, przed którym stoją działy IT, jest natury strukturalnej. Architektura systemów operacyjnych polega na zaufaniu do podpisów cyfrowych. Jeśli sterownik jest podpisany przez uznanego producenta, system zakłada, że jest on bezpieczny. Grupy Qilin i Warlock bezlitośnie wykorzystują ten fakt. Nie muszą tworzyć własnych, podejrzanych sterowników – wystarczy, że znajdą starą wersję legalnego oprogramowania (np. sterownik do starej karty sieciowej lub narzędzia do podkręcania procesora), która posiada udokumentowany błąd typu buffer overflow lub możliwość dowolnego zapisu w pamięci.

"AI drastycznie skróciło okno reakcji człowieka, zmieniając dostęp zdalny w najszybszą ścieżkę do naruszenia bezpieczeństwa danych w 2026 roku." — Zscaler ThreatLabz 2026 VPN Risk Report

To podejście sprawia, że walka z Qilin nie polega już tylko na blokowaniu złośliwych adresów IP czy usuwaniu znanych wirusów. Wymaga ona rygorystycznej polityki zarządzania sterownikami i blokowania tych, które znajdują się na czarnych listach podatności. Niestety, w skali globalnej, wiele organizacji nie posiada odpowiednich narzędzi, aby weryfikować każdy ładowany sterownik pod kątem historycznych luk bezpieczeństwa, co czyni technikę BYOVD jedną z najbardziej niszczycielskich metod w arsenale współczesnego ransomware.

Ewolucja grup Qilin i Warlock w stronę tak zaawansowanych metod neutralizacji obrony wskazuje na profesjonalizację cyberprzestępczości. Skupienie się na wyłączeniu 300+ narzędzi EDR świadczy o tym, że napastnicy nie boją się już konfrontacji z topowymi rozwiązaniami security – oni po prostu usuwają je z równania przed przystąpieniem do właściwego ataku. W świecie, gdzie AI wspomaga proces penetracji sieci, jedyną skuteczną obroną staje się model Zero Trust na poziomie jądra systemu, który uniemożliwi ładowanie jakichkolwiek podatnych sterowników, niezależnie od ich certyfikacji.