54 утилиты EDR-убийцы используют BYOVD для обхода защиты

Новая аналитика выявила, что 54 утилиты, угрожающие кибербезопасности, применяют тактику bring your own vulnerable driver (BYOVD). Эти программы активно используются в атаках программ-вымогателей для отключения средств безопасности перед запуском шифрующего ПО. Успешный обход защиты делает систему уязвимой для вторжения.

Как работают утилиты EDR-убийцы

Специалист ESET Якуб Сучек заметил, что группы-вымогатели часто используют утилиты, чтобы их версии шифровальщиков не были обнаружены. „Создание новых сборок шифровальщиков и надежное скрытие их от обнаружения — процесс весьма трудоемкий“, — отмечает он. Утилиты EDR-убийцы отключают защитные механизмы перед запуском самого шифровальщика, что упрощает задачу злоумышленников.

Типы угроз и примеры

Существует несколько видов EDR-убийц. Они включают закрытые группы-вымогателей, такие как DeadLock и Warlock, разрабатывающие собственные утилиты. Некоторые злоумышленники модифицируют существующий код, превращая его в новые инструменты, как это сделано в случае утилит SmilingKiller и TfSysMon-Killer. Другие же продают такие настоящие инструменты на черных рынках.

Также выявлены скриптовые инструменты, использующие стандартные команды системы для вмешательства в работу программ безопасности. Утилиты, работающие в безопасном режиме Windows, обеспечивают еще большую возможность для злоумышленников, так как в этом режиме загружается минимальный набор системы, исключая большинство антивирусов.

Что это значит для бизнеса

Обнаружение и блокировка утилит EDR-убийц — важная задача для бизнеса. Система защиты должна адаптироваться к новым угрозам и уязвимостям. Компании должны тщательно проверять все драйверы, используемые в их средах, чтобы защитить свою кибербезопасность.

The post 54 утилиты EDR-убийцы используют BYOVD для обхода защиты appeared first on iTech News.