Анализ, проведённый специалистами ESET, выявил тесную связь между группами RansomHub, Medusa, BianLian и Play, использующими специализированный инструмент EDRKillShifter для отключения систем обнаружения и реагирования на угрозы. Исследование подчёркивает, что начиная с августа 2024 года киберпреступники активно перерабатывают данный инструмент для проведения своих атак.
EDRKillShifter был разработан группой RansomHub для нейтрализации защитного ПО на заражённых хостах. Этот уникальный инструмент, предназначенный для предотвращения обнаружения шифровальщика, стал редким явлением в экосистеме программ-вымогателей благодаря своей специализированной разработке и последующему распространению среди партнёров.
Инструмент использует методику BYOVD (Bring Your Own Vulnerable Driver), позволяющую эксплуатировать существующие уязвимости в легитимных драйверах для деактивации программ безопасности. Такой подход даёт возможность злоумышленникам обеспечить беспрепятственную работу своего шифровальщика, не вызывая подозрений у системных администраторов.
При проведении вторжений киберпреступники стремятся получить права администратора или домен-администратора, что даёт им возможность запустить вредоносное ПО после успешного обхода защитных механизмов. Из-за стабильности шифровальщиков, операторов побуждают использовать EDRKillShifter перед непосредственным выполнением вредоносного кода, чтобы избежать риска выявления обновлениями системы.
Особая примечательность наблюдается в процессе переработки инструмента: группы Medusa, BianLian и Play переняли и адаптировали технологию EDRKillShifter, несмотря на свою склонность к использованию стабильного набора инструментов. Доверительные и длительные партнёрские отношения в рамках закрытой модели RaaS (Ransomware-as-a-Service) позволяют им делиться передовыми методами и инструментами даже между конкурентами.
Отдельного внимания заслуживают отдельные угрозы: подозреваемый киберпреступник QuadSwitcher, тесно связанный с Play, и оператор CosmicBeetle, использовавший инструмент в трёх случаях, включая ложные атаки LockBit, демонстрируя широту применения данного ПО.
Рост числа атак с применением методики BYOVD наблюдается на фоне появления других инструментов, таких как MS4Killer от группировки Embargo и вредоносного драйвера ABYSSWORKER, связанного с Medusa. Эти случаи подчёркивают необходимость непрерывного контроля и обновления защитных систем в корпоративных сетях.
Рекомендации специалистов ESET акцентируют внимание на важности предотвращения получения прав администратора злоумышленниками. Организациям советуют активировать механизмы обнаружения небезопасных приложений и блокировать установку уязвимых драйверов, что позволяет минимизировать риск запуска EDRKillShifter в ходе атаки.
Изображение носит иллюстративный характер
EDRKillShifter был разработан группой RansomHub для нейтрализации защитного ПО на заражённых хостах. Этот уникальный инструмент, предназначенный для предотвращения обнаружения шифровальщика, стал редким явлением в экосистеме программ-вымогателей благодаря своей специализированной разработке и последующему распространению среди партнёров.
Инструмент использует методику BYOVD (Bring Your Own Vulnerable Driver), позволяющую эксплуатировать существующие уязвимости в легитимных драйверах для деактивации программ безопасности. Такой подход даёт возможность злоумышленникам обеспечить беспрепятственную работу своего шифровальщика, не вызывая подозрений у системных администраторов.
При проведении вторжений киберпреступники стремятся получить права администратора или домен-администратора, что даёт им возможность запустить вредоносное ПО после успешного обхода защитных механизмов. Из-за стабильности шифровальщиков, операторов побуждают использовать EDRKillShifter перед непосредственным выполнением вредоносного кода, чтобы избежать риска выявления обновлениями системы.
Особая примечательность наблюдается в процессе переработки инструмента: группы Medusa, BianLian и Play переняли и адаптировали технологию EDRKillShifter, несмотря на свою склонность к использованию стабильного набора инструментов. Доверительные и длительные партнёрские отношения в рамках закрытой модели RaaS (Ransomware-as-a-Service) позволяют им делиться передовыми методами и инструментами даже между конкурентами.
Отдельного внимания заслуживают отдельные угрозы: подозреваемый киберпреступник QuadSwitcher, тесно связанный с Play, и оператор CosmicBeetle, использовавший инструмент в трёх случаях, включая ложные атаки LockBit, демонстрируя широту применения данного ПО.
Рост числа атак с применением методики BYOVD наблюдается на фоне появления других инструментов, таких как MS4Killer от группировки Embargo и вредоносного драйвера ABYSSWORKER, связанного с Medusa. Эти случаи подчёркивают необходимость непрерывного контроля и обновления защитных систем в корпоративных сетях.
Рекомендации специалистов ESET акцентируют внимание на важности предотвращения получения прав администратора злоумышленниками. Организациям советуют активировать механизмы обнаружения небезопасных приложений и блокировать установку уязвимых драйверов, что позволяет минимизировать риск запуска EDRKillShifter в ходе атаки.
