Почему современные киберпреступники выбирают EDRKillShifter?

Анализ, проведённый специалистами ESET, выявил тесную связь между группами RansomHub, Medusa, BianLian и Play, использующими специализированный инструмент EDRKillShifter для отключения систем обнаружения и реагирования на угрозы. Исследование подчёркивает, что начиная с августа 2024 года киберпреступники активно перерабатывают данный инструмент для проведения своих атак.
Почему современные киберпреступники выбирают EDRKillShifter?
Изображение носит иллюстративный характер

EDRKillShifter был разработан группой RansomHub для нейтрализации защитного ПО на заражённых хостах. Этот уникальный инструмент, предназначенный для предотвращения обнаружения шифровальщика, стал редким явлением в экосистеме программ-вымогателей благодаря своей специализированной разработке и последующему распространению среди партнёров.

Инструмент использует методику BYOVD (Bring Your Own Vulnerable Driver), позволяющую эксплуатировать существующие уязвимости в легитимных драйверах для деактивации программ безопасности. Такой подход даёт возможность злоумышленникам обеспечить беспрепятственную работу своего шифровальщика, не вызывая подозрений у системных администраторов.

При проведении вторжений киберпреступники стремятся получить права администратора или домен-администратора, что даёт им возможность запустить вредоносное ПО после успешного обхода защитных механизмов. Из-за стабильности шифровальщиков, операторов побуждают использовать EDRKillShifter перед непосредственным выполнением вредоносного кода, чтобы избежать риска выявления обновлениями системы.

Особая примечательность наблюдается в процессе переработки инструмента: группы Medusa, BianLian и Play переняли и адаптировали технологию EDRKillShifter, несмотря на свою склонность к использованию стабильного набора инструментов. Доверительные и длительные партнёрские отношения в рамках закрытой модели RaaS (Ransomware-as-a-Service) позволяют им делиться передовыми методами и инструментами даже между конкурентами.

Отдельного внимания заслуживают отдельные угрозы: подозреваемый киберпреступник QuadSwitcher, тесно связанный с Play, и оператор CosmicBeetle, использовавший инструмент в трёх случаях, включая ложные атаки LockBit, демонстрируя широту применения данного ПО.

Рост числа атак с применением методики BYOVD наблюдается на фоне появления других инструментов, таких как MS4Killer от группировки Embargo и вредоносного драйвера ABYSSWORKER, связанного с Medusa. Эти случаи подчёркивают необходимость непрерывного контроля и обновления защитных систем в корпоративных сетях.

Рекомендации специалистов ESET акцентируют внимание на важности предотвращения получения прав администратора злоумышленниками. Организациям советуют активировать механизмы обнаружения небезопасных приложений и блокировать установку уязвимых драйверов, что позволяет минимизировать риск запуска EDRKillShifter в ходе атаки.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка