Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Хакеры из RansomHub применяют новое вредоносное ПО для уничтожения ИБ-продуктов

13
2 мин
Операторы программ-вымогателей RansomHub начали использовать новое вредоносное ПО для отключения программного обеспечения безопасности Endpoint Detection and Response (EDR) при атаках с использованием собственного уязвимого драйвера (BYOVD). Эксперты компании Sophos, обнаружившие это вредоносное ПО в ходе расследования в мае 2024 года, назвали его EDRKillShifter. Аналитики уточняют, что вредоносное ПО, распространяемое хакерами RansomHub, устанавливает на целевых устройствах легитимный уязвимый драйвер для повышения привилегий, отключения решений безопасности и получения контроля над системой. «Во время инцидента в мае 2024 года злоумышленники попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал. Мы с умеренной уверенностью полагаем, что этот инструмент используется несколькими злоумышленниками. Затем они попытались запустить исполняемый файл программы-вымогателя на контролируемой ими машине, но это также не удалось, когда
источник: dall-e
источник: dall-e

Операторы программ-вымогателей RansomHub начали использовать новое вредоносное ПО для отключения программного обеспечения безопасности Endpoint Detection and Response (EDR) при атаках с использованием собственного уязвимого драйвера (BYOVD). Эксперты компании Sophos, обнаружившие это вредоносное ПО в ходе расследования в мае 2024 года, назвали его EDRKillShifter.

Аналитики уточняют, что вредоносное ПО, распространяемое хакерами RansomHub, устанавливает на целевых устройствах легитимный уязвимый драйвер для повышения привилегий, отключения решений безопасности и получения контроля над системой.

«Во время инцидента в мае 2024 года злоумышленники попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал. Мы с умеренной уверенностью полагаем, что этот инструмент используется несколькими злоумышленниками. Затем они попытались запустить исполняемый файл программы-вымогателя на контролируемой ими машине, но это также не удалось, когда сработала функция CryptoGuard агента конечной точки», — сообщил эксперт по кибербезопасности Sophos Андреас Клопш.

В ходе расследования компания Sophos обнаружила два разных образца, оба с эксплойтами, подтверждающими концепцию, доступными на GitHub. Один из них эксплуатирует уязвимый драйвер, известный как RentDrv2, а другой — драйвер ThreatFireMonitor, компонент устаревшего пакета мониторинга системы.

Компания Sophos также установила, что EDRKillShifter может доставлять различные полезные нагрузки драйверов в зависимости от потребностей злоумышленников. Языковые свойства вредоносной программы указывают на то, что она была скомпилирована на компьютере с русской локализацией.

Выполнение загрузчика включает три шага. Во-первых, злоумышленник запускает двоичный файл EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывает и выполняет финальную полезную нагрузку, которая сбрасывает и эксплуатирует уязвимый, легитимный драйвер для повышения привилегий и отключения активных процессов и служб EDR.

Оригинал публикации на сайте CISOCLUB: "Хакеры из RansomHub применяют новое вредоносное ПО для уничтожения ИБ-продуктов".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются