SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Atacantes utilizam credenciais SonicWall VPN comprometidas para instalar malware que desabilita EDR
05 FEVEREIRO | 2026
SEVERIDADE: CRÍTICA

SEK SECURITY ADVISORY

Attackers Use Compromised SonicWall VPN Credentials to Deploy EDR-Disabling Malware
FEBRUARY 05 | 2026
SEVERITY: CRITICAL

SEK SECURITY ADVISORY

Atacantes utilizan credenciales VPN SonicWall comprometidas para instalar malware que deshabilita EDR
05 FEBRERO | 2026
SEVERIDAD: CRÍTICA

Overview

A Huntress identificou uma campanha ativa em fevereiro de 2026 onde atacantes utilizaram credenciais SonicWall SSLVPN comprometidas para acessar redes corporativas e instalar um malware especializado em desabilitar soluções de segurança endpoint (EDR/AV). A intrusão não explora vulnerabilidades técnicas nos dispositivos SonicWall, mas sim credenciais VPN válidas obtidas previamente, destacando a importância crítica da autenticação multifator.

Após autenticação bem-sucedida na VPN usando credenciais legítimas, os atacantes realizaram reconhecimento agressivo da rede e instalaram um "EDR killer" que utiliza a técnica BYOVD (Bring Your Own Vulnerable Driver) para desabilitar soluções de segurança. O malware utiliza o driver legítimo EnPortv.sys do software forense EnCase da Guidance Software, assinado digitalmente em 2006 com certificado expirado em 2010 e posteriormente revogado, mas que ainda é aceito pelo Windows devido a lacunas na verificação de Driver Signature Enforcement.

O ataque foi interrompido antes da implantação de ransomware, mas representa uma ameaça crítica pois elimina completamente a visibilidade das equipes de segurança. O malware termina processos de 59 soluções EDR/AV diferentes (incluindo Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black) executando em loop contínuo para garantir que agentes reiniciados sejam imediatamente desabilitados novamente. A campanha demonstra como ataques BYOVD tornaram-se componente padrão do arsenal de grupos de ransomware.

Recomendações

  • Implementar autenticação multifator (MFA) imediatamente em todos os acessos VPN SonicWall, priorizando contas administrativas e de usuários com privilégios elevados
  • Habilitar Memory Integrity (HVCI) em todos os sistemas Windows suportados para forçar o bloqueio de drivers vulneráveis conhecidos através do Microsoft Vulnerable Driver Blocklist
  • Auditar logs de autenticação VPN nos últimos 90 dias identificando padrões anômalos como tentativas de login malsucedidas seguidas imediatamente por autenticações bem-sucedidas, acessos de IPs geograficamente improváveis ou fora do horário comercial
  • Monitorar criação de serviços do kernel que mimetizam componentes OEM ou de hardware legítimos, especialmente aqueles criados fora de janelas normais de deployment de software
  • Implementar regras ASR (Attack Surface Reduction) e Windows Defender Application Control (WDAC) para prevenir carregamento de drivers vulneráveis conhecidos
  • Rotacionar credenciais VPN imediatamente caso haja suspeita de comprometimento ou se a organização não utiliza MFA atualmente
  • Buscar indicadores de comprometimento (IoCs) relacionados aos hashes SHA-256: 3111f4d7d4fac55103453c4c8adb742def007b96b7c8ed265347df97137fbee0 (driver EnPortv.sys) e 6a6aaeed4a6bbe82a08d197f5d40c2592a461175f181e0440e0ff45d5fb60939 (binário EDR killer)
  • Verificar presença do driver malicioso no caminho C:\ProgramData\OEM\Firmware\OemHwUpd.sys e do serviço "OEM Hardware HAL Service" (nome interno: OemHwUpd)
  • Integrar logs SonicWall com SIEM para correlação e detecção de padrões de ataque, incluindo alertas de reconhecimento de rede (ICMP sweeps, NetBIOS probes, SYN floods)

Fontes

Overview

Huntress identified an active campaign in February 2026 where attackers used compromised SonicWall SSLVPN credentials to access corporate networks and deploy specialized malware designed to disable endpoint security solutions (EDR/AV). The intrusion does not exploit technical vulnerabilities in SonicWall devices but rather previously obtained valid VPN credentials, highlighting the critical importance of multi-factor authentication.

After successful VPN authentication using legitimate credentials, the attackers conducted aggressive network reconnaissance and deployed an "EDR killer" that uses the BYOVD (Bring Your Own Vulnerable Driver) technique to disable security solutions. The malware leverages the legitimate EnPortv.sys driver from Guidance Software's EnCase forensic software, digitally signed in 2006 with a certificate that expired in 2010 and was subsequently revoked, but is still accepted by Windows due to gaps in Driver Signature Enforcement verification.

The attack was disrupted before ransomware deployment but represents a critical threat as it completely eliminates security teams' visibility. The malware terminates processes from 59 different EDR/AV solutions (including Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black) running in a continuous loop to ensure that restarted agents are immediately disabled again. The campaign demonstrates how BYOVD attacks have become a standard component of ransomware groups' arsenal.

Recommendations

  • Implement multi-factor authentication (MFA) immediately on all SonicWall VPN access, prioritizing administrative accounts and users with elevated privileges
  • Enable Memory Integrity (HVCI) on all supported Windows systems to enforce blocking of known vulnerable drivers through Microsoft's Vulnerable Driver Blocklist
  • Audit VPN authentication logs for the past 90 days identifying anomalous patterns such as failed login attempts immediately followed by successful authentications, access from geographically improbable IPs, or outside business hours
  • Monitor kernel service creation that mimics legitimate OEM or hardware components, especially those created outside normal software deployment windows
  • Implement ASR (Attack Surface Reduction) rules and Windows Defender Application Control (WDAC) to prevent loading of known vulnerable drivers
  • Rotate VPN credentials immediately if there is suspicion of compromise or if the organization does not currently use MFA
  • Search for indicators of compromise (IoCs) related to SHA-256 hashes: 3111f4d7d4fac55103453c4c8adb742def007b96b7c8ed265347df97137fbee0 (EnPortv.sys driver) and 6a6aaeed4a6bbe82a08d197f5d40c2592a461175f181e0440e0ff45d5fb60939 (EDR killer binary)
  • Verify presence of malicious driver at path C:\ProgramData\OEM\Firmware\OemHwUpd.sys and the service "OEM Hardware HAL Service" (internal name: OemHwUpd)
  • Integrate SonicWall logs with SIEM for correlation and detection of attack patterns, including network reconnaissance alerts (ICMP sweeps, NetBIOS probes, SYN floods)

Sources

Overview

Huntress identificó una campaña activa en febrero de 2026 donde atacantes utilizaron credenciales SonicWall SSLVPN comprometidas para acceder a redes corporativas e instalar malware especializado en deshabilitar soluciones de seguridad endpoint (EDR/AV). La intrusión no explota vulnerabilidades técnicas en los dispositivos SonicWall, sino credenciales VPN válidas obtenidas previamente, destacando la importancia crítica de la autenticación multifactor.

Tras la autenticación exitosa en la VPN usando credenciales legítimas, los atacantes realizaron reconocimiento agresivo de la red e instalaron un "EDR killer" que utiliza la técnica BYOVD (Bring Your Own Vulnerable Driver) para deshabilitar soluciones de seguridad. El malware utiliza el driver legítimo EnPortv.sys del software forense EnCase de Guidance Software, firmado digitalmente en 2006 con certificado expirado en 2010 y posteriormente revocado, pero que aún es aceptado por Windows debido a brechas en la verificación de Driver Signature Enforcement.

El ataque fue interrumpido antes del despliegue de ransomware, pero representa una amenaza crítica ya que elimina completamente la visibilidad de los equipos de seguridad. El malware termina procesos de 59 soluciones EDR/AV diferentes (incluyendo Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black) ejecutando en bucle continuo para garantizar que los agentes reiniciados sean inmediatamente deshabilitados nuevamente. La campaña demuestra cómo los ataques BYOVD se han convertido en un componente estándar del arsenal de grupos de ransomware.

Recomendaciones

  • Implementar autenticación multifactor (MFA) inmediatamente en todos los accesos VPN SonicWall, priorizando cuentas administrativas y usuarios con privilegios elevados
  • Habilitar Memory Integrity (HVCI) en todos los sistemas Windows compatibles para forzar el bloqueo de drivers vulnerables conocidos a través del Microsoft Vulnerable Driver Blocklist
  • Auditar logs de autenticación VPN de los últimos 90 días identificando patrones anómalos como intentos de login fallidos seguidos inmediatamente por autenticaciones exitosas, accesos desde IPs geográficamente improbables o fuera del horario comercial
  • Monitorear creación de servicios del kernel que imiten componentes OEM o de hardware legítimos, especialmente aquellos creados fuera de ventanas normales de despliegue de software
  • Implementar reglas ASR (Attack Surface Reduction) y Windows Defender Application Control (WDAC) para prevenir la carga de drivers vulnerables conocidos
  • Rotar credenciales VPN inmediatamente si hay sospecha de compromiso o si la organización no utiliza MFA actualmente
  • Buscar indicadores de compromiso (IoCs) relacionados con los hashes SHA-256: 3111f4d7d4fac55103453c4c8adb742def007b96b7c8ed265347df97137fbee0 (driver EnPortv.sys) y 6a6aaeed4a6bbe82a08d197f5d40c2592a461175f181e0440e0ff45d5fb60939 (binario EDR killer)
  • Verificar presencia del driver malicioso en la ruta C:\ProgramData\OEM\Firmware\OemHwUpd.sys y del servicio "OEM Hardware HAL Service" (nombre interno: OemHwUpd)
  • Integrar logs SonicWall con SIEM para correlación y detección de patrones de ataque, incluyendo alertas de reconocimiento de red (ICMP sweeps, NetBIOS probes, SYN floods)

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos