Операторы программ-вымогателей RansomHub начали использовать новое вредоносное ПО для отключения программного обеспечения безопасности Endpoint Detection and Response (EDR) при атаках с использованием собственного уязвимого драйвера (BYOVD). Эксперты компании Sophos, обнаружившие это вредоносное ПО в ходе расследования в мае 2024 года, назвали его EDRKillShifter.
Аналитики уточняют, что вредоносное ПО, распространяемое хакерами RansomHub, устанавливает на целевых устройствах легитимный уязвимый драйвер для повышения привилегий, отключения решений безопасности и получения контроля над системой.
«Во время инцидента в мае 2024 года злоумышленники попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал. Мы с умеренной уверенностью полагаем, что этот инструмент используется несколькими злоумышленниками. Затем они попытались запустить исполняемый файл программы-вымогателя на контролируемой ими машине, но это также не удалось, когда сработала функция CryptoGuard агента конечной точки», — сообщил эксперт по кибербезопасности Sophos Андреас Клопш.
В ходе расследования компания Sophos обнаружила два разных образца, оба с эксплойтами, подтверждающими концепцию, доступными на GitHub. Один из них эксплуатирует уязвимый драйвер, известный как RentDrv2, а другой — драйвер ThreatFireMonitor, компонент устаревшего пакета мониторинга системы.
Компания Sophos также установила, что EDRKillShifter может доставлять различные полезные нагрузки драйверов в зависимости от потребностей злоумышленников. Языковые свойства вредоносной программы указывают на то, что она была скомпилирована на компьютере с русской локализацией.
Выполнение загрузчика включает три шага. Во-первых, злоумышленник запускает двоичный файл EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывает и выполняет финальную полезную нагрузку, которая сбрасывает и эксплуатирует уязвимый, легитимный драйвер для повышения привилегий и отключения активных процессов и служб EDR.
Оригинал публикации на сайте CISOCLUB: "Хакеры из RansomHub применяют новое вредоносное ПО для уничтожения ИБ-продуктов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
