Ssylka

Почему современные киберпреступники выбирают EDRKillShifter?

Анализ, проведённый специалистами ESET, выявил тесную связь между группами RansomHub, Medusa, BianLian и Play, использующими специализированный инструмент EDRKillShifter для отключения систем обнаружения и реагирования на угрозы. Исследование подчёркивает, что начиная с августа 2024 года киберпреступники активно перерабатывают данный инструмент для проведения своих атак.
Почему современные киберпреступники выбирают EDRKillShifter?
Изображение носит иллюстративный характер

EDRKillShifter был разработан группой RansomHub для нейтрализации защитного ПО на заражённых хостах. Этот уникальный инструмент, предназначенный для предотвращения обнаружения шифровальщика, стал редким явлением в экосистеме программ-вымогателей благодаря своей специализированной разработке и последующему распространению среди партнёров.

Инструмент использует методику BYOVD (Bring Your Own Vulnerable Driver), позволяющую эксплуатировать существующие уязвимости в легитимных драйверах для деактивации программ безопасности. Такой подход даёт возможность злоумышленникам обеспечить беспрепятственную работу своего шифровальщика, не вызывая подозрений у системных администраторов.

При проведении вторжений киберпреступники стремятся получить права администратора или домен-администратора, что даёт им возможность запустить вредоносное ПО после успешного обхода защитных механизмов. Из-за стабильности шифровальщиков, операторов побуждают использовать EDRKillShifter перед непосредственным выполнением вредоносного кода, чтобы избежать риска выявления обновлениями системы.

Особая примечательность наблюдается в процессе переработки инструмента: группы Medusa, BianLian и Play переняли и адаптировали технологию EDRKillShifter, несмотря на свою склонность к использованию стабильного набора инструментов. Доверительные и длительные партнёрские отношения в рамках закрытой модели RaaS (Ransomware-as-a-Service) позволяют им делиться передовыми методами и инструментами даже между конкурентами.

Отдельного внимания заслуживают отдельные угрозы: подозреваемый киберпреступник QuadSwitcher, тесно связанный с Play, и оператор CosmicBeetle, использовавший инструмент в трёх случаях, включая ложные атаки LockBit, демонстрируя широту применения данного ПО.

Рост числа атак с применением методики BYOVD наблюдается на фоне появления других инструментов, таких как MS4Killer от группировки Embargo и вредоносного драйвера ABYSSWORKER, связанного с Medusa. Эти случаи подчёркивают необходимость непрерывного контроля и обновления защитных систем в корпоративных сетях.

Рекомендации специалистов ESET акцентируют внимание на важности предотвращения получения прав администратора злоумышленниками. Организациям советуют активировать механизмы обнаружения небезопасных приложений и блокировать установку уязвимых драйверов, что позволяет минимизировать риск запуска EDRKillShifter в ходе атаки.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов