Infecção por Ransomware do Genshin Impact: Adversários Abusam do Driver Anti-Cheat

Genshin Impact, um popular RPG de ação em mundo aberto, está sendo utilizado para espalhar ransomware. Os agentes de ameaça abusam do arquivo mhyprot2.sys, um driver anti-cheat vulnerável, para terminar processos e serviços de antivírus e instalar ransomware. Usando o driver legítimo como rootkit, os adversários buscam primeiro instalar o ransomware na máquina alvo visando a subsequente propagação da infecção para outras estações de trabalho.

Detectar Explorações de Ransomware

Para identificar comportamentos associados ao abuso do driver vulnerável mhyprot2.sys do Genshin Impact, utilize o seguinte conteúdo de detecção de ameaça lançado por contribuintes experientes do Threat Bounty Kaan Yeniyol and Aykut Gürses:

Detecção do Driver Anti-Cheat do Genshin Impact em Atividade de Ransomware

The Regras baseadas em Sigma são referenciadas na estrutura MITRE ATT&CK® v.10, e podem ser aplicadas em 26 soluções de SIEM, EDR e XDR suportadas pela plataforma da SOC Prime.

O Marketplace de Detecção de Ameaças hospeda mais de 130.000 peças de conteúdo de detecção verificadas, incluindo detecções, alertas, consultas de caça e playbooks. Cerca de 140 novas detecções são adicionadas a cada mês. Clique no botão Detectar & Caçar para acessar o conteúdo de detecção de alta qualidade dedicado a identificar possíveis explorações de ransomware. Para informações contextuais perspicazes, clique no botão Explorar Contexto de Ameaça e explore a lista de regras Sigma relevantes acompanhadas de metadados abrangentes — sem necessidade de registro.

botão Detectar & Caçar botão Explorar Contexto de Ameaça

A Análise de Incidentes

A divulgação dos pesquisadores da Trend Micro detalha um recente abuso do jogo de interpretação de papéis Genshin Impact por atores de ransomware. De acordo com os dados da pesquisa, atores de ameaça exploram um driver vulnerável assinado por código responsável por funções anti-cheat para o jogo. Ao abusar do mhyprot2.sys, um driver dentro do sistema anti-cheat do jogo, atores de ransomware podem contornar os privilégios de sistema e terminar os processos de proteção do endpoint executando comandos a partir do modo kernel.

Também foi revelado que essa vulnerabilidade existe há cerca de dois anos e ainda não foi corrigida.

Em julho, apresentamos algumas melhorias significativas no Programa Threat Bounty da SOC Prime. Saiba mais sobre o programa dos desenvolvedores de conteúdo de detecção mais prolíficos do mundo cibernético e garanta seu lugar entre os líderes da indústria com a SOC Prime.