Medusa Ransomware использует метод BYOVD, чтобы доставить свой шифратор через загрузчик, упакованный инструментом HeartCrypt, и тем самым нейтрализовать антивирусы и другие системы обнаружения вредоносного ПО.
Злоумышленники развёртывают драйвер ABYSSWORKER, файл которого носит имя smuol.sys и имитирует легитимный драйвер CrowdStrike Falcon (CSAgent.sys). Подписанный вероятно украденными и отозванными сертификатами китайских компаний, этот драйвер устанавливается на заражённые машины для отключения средств Endpoint Detection and Response (EDR).
Подобный EDR-killing драйвер ранее документировался ConnectWise в январе 2025 года под именем nbwdv.sys, что указывает на постоянное совершенствование методов обхода защиты.
При инициализации ABYSSWORKER добавляет свой идентификатор в список глобально защищённых процессов и обрабатывает запросы ввода-вывода, распределяя их по функциям в зависимости от кода. Так, код 0x222080 активирует драйвер с использованием пароля «7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X», 0x2220c0 загружает необходимые ядровые API, 0x222184 отвечает за копирование файлов, 0x222180 – за удаление, 0x222408 – за завершение системных потоков по имени модуля, а 0x222400 удаляет уведомления, «ослепляя» защитные продукты. Дополнительно, коды 0x222144 и 0x222140 завершают процессы и потоки, 0x222084 деактивирует вредоносное ПО, а 0x222664 инициирует перезагрузку системы. Код 0x222400 используется и другими инструментами, например, EDRSandBlast и RealBlindingEDR.
Получив высокоуровневые привилегии через vsdatant.sys, злоумышленники эксплуатировали уязвимости для обхода защитных механизмов и установки постоянных RDP-соединений, что позволяло получить полный контроль над заражёнными системами. Несмотря на то, что Check Point уже «запатчил» эту уязвимость, на протяжении атаки злоумышленники успевали похищать конфиденциальные данные, включая пароли и сохранённые учётные данные.
Операция RansomHub, также известная как Greenbottle или Cyclops, демонстрирует использование незадокументированного многофункционального бэкдора с кодовым именем Betruger. Этот инструмент позволяет вести скриншотинг, кейлоггинг, сканирование сети, повышение привилегий, сбор учётных данных и передачу информации на удалённый сервер. По оценке компании Symantec, принадлежащей Broadcom, применение кастомного бэкдора минимизировало количество новых инструментов, используемых в атакуемой сети, что стало заметным отклонением от стандартных методов с применением, например, Mimikatz и Cobalt Strike.
Комбинация вредоносного драйвера ABYSSWORKER, подписанного украденными отозванными сертификатами, и точное использование команд ввода-вывода обеспечивает обход большинства систем защиты. Артефакты драйвера, обнаруженные на VirusTotal в период с 8 августа 2024 по 25 февраля 2025, подтверждают масштаб и активность этой атаки.
Применение методов BYOVD и эксплуатация уязвимостей для получения ядровых привилегий подчёркивают растущую сложность современных ransomware-операций. Постоянный доступ через RDP и возможность извлечения чувствительных данных создают угрозу долгосрочного воздействия, затрудняя оперативное реагирование на инциденты безопасности.
Изображение носит иллюстративный характер
Злоумышленники развёртывают драйвер ABYSSWORKER, файл которого носит имя smuol.sys и имитирует легитимный драйвер CrowdStrike Falcon (CSAgent.sys). Подписанный вероятно украденными и отозванными сертификатами китайских компаний, этот драйвер устанавливается на заражённые машины для отключения средств Endpoint Detection and Response (EDR).
Подобный EDR-killing драйвер ранее документировался ConnectWise в январе 2025 года под именем nbwdv.sys, что указывает на постоянное совершенствование методов обхода защиты.
При инициализации ABYSSWORKER добавляет свой идентификатор в список глобально защищённых процессов и обрабатывает запросы ввода-вывода, распределяя их по функциям в зависимости от кода. Так, код 0x222080 активирует драйвер с использованием пароля «7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X», 0x2220c0 загружает необходимые ядровые API, 0x222184 отвечает за копирование файлов, 0x222180 – за удаление, 0x222408 – за завершение системных потоков по имени модуля, а 0x222400 удаляет уведомления, «ослепляя» защитные продукты. Дополнительно, коды 0x222144 и 0x222140 завершают процессы и потоки, 0x222084 деактивирует вредоносное ПО, а 0x222664 инициирует перезагрузку системы. Код 0x222400 используется и другими инструментами, например, EDRSandBlast и RealBlindingEDR.
Получив высокоуровневые привилегии через vsdatant.sys, злоумышленники эксплуатировали уязвимости для обхода защитных механизмов и установки постоянных RDP-соединений, что позволяло получить полный контроль над заражёнными системами. Несмотря на то, что Check Point уже «запатчил» эту уязвимость, на протяжении атаки злоумышленники успевали похищать конфиденциальные данные, включая пароли и сохранённые учётные данные.
Операция RansomHub, также известная как Greenbottle или Cyclops, демонстрирует использование незадокументированного многофункционального бэкдора с кодовым именем Betruger. Этот инструмент позволяет вести скриншотинг, кейлоггинг, сканирование сети, повышение привилегий, сбор учётных данных и передачу информации на удалённый сервер. По оценке компании Symantec, принадлежащей Broadcom, применение кастомного бэкдора минимизировало количество новых инструментов, используемых в атакуемой сети, что стало заметным отклонением от стандартных методов с применением, например, Mimikatz и Cobalt Strike.
Комбинация вредоносного драйвера ABYSSWORKER, подписанного украденными отозванными сертификатами, и точное использование команд ввода-вывода обеспечивает обход большинства систем защиты. Артефакты драйвера, обнаруженные на VirusTotal в период с 8 августа 2024 по 25 февраля 2025, подтверждают масштаб и активность этой атаки.
Применение методов BYOVD и эксплуатация уязвимостей для получения ядровых привилегий подчёркивают растущую сложность современных ransomware-операций. Постоянный доступ через RDP и возможность извлечения чувствительных данных создают угрозу долгосрочного воздействия, затрудняя оперативное реагирование на инциденты безопасности.
