Киберпреступники начали использовать новый тип вредоносного ПО, которое полностью уничтожает установленные на зараженном устройстве антивирусные программы и заражает его программой-вымогателем.
Новая утилита EDRKillShifter
Исследователи из компании Sophos сообщили о новой утилите для уничтожения систем EDR (Endpoint Detection and Response), названной ими EDRKillShifter.
Данная утилита была использована группой вымогателей под названием RansomHub. Однако Sophos утверждает, что с «умеренной уверенностью» данная утилита применяется несколькими группами злоумышленников. Это может означать, что утилита была разработана третьими лицами и, возможно, доступна для продажи или аренды на теневом рынке.
Анализ Sophos
В ходе анализа случая, описанного Sophos, группа злоумышленников пыталась использовать EDRKillShifter для завершения работы защиты Sophos на целевом компьютере, но утилита не справилась с задачей. В результате, шифровальщик также не сработал и атака была прервана.
В своем анализе EDRKillShifter, Sophos описывает эту утилиту как загрузчик, который устанавливает легитимный, но уязвимый драйвер. Такая практика не нова — атаки типа «Принеси свой уязвимый драйвер» реализуются уже несколько лет. В этих атаках злоумышленники устанавливают старую версию драйвера на целевую машину, который принимается операционной системой. Затем, используя уязвимости драйвера, они внедряют вредоносное ПО.
В зависимости от требований злоумышленников, EDRKillShifter доставляет разные типы вредоносных драйверов.
Рекомендации по защите
Чтобы защититься от данной угрозы, Sophos рекомендует проверять наличие и включение защиты от вмешательства в продуктах безопасности конечных точек. Кроме того, компаниям следует тщательно следить за безопасностью ролей Windows, так как атака возможна только в случае эскалации привилегий или получения прав администратора. Наконец, необходимо своевременно обновлять системы, так как Microsoft недавно начала отказывать в сертификации старых подписанных драйверов.
Источник: TechRadar
