1828 подписчиков
Операторы программ-вымогателей RansomHub развертывают новое вредоносное ПО для отключения программного обеспечения безопасности Endpoint Detection and Response (EDR) при атаках с использованием собственного уязвимого драйвера (BYOVD).
Исследователи безопасности, обнаружившие вредоносное ПО в ходе расследования в мае 2024 года, назвали его EDRKillShifter.
Вредоносное ПО устанавливает на целевых устройствах легитимный уязвимый драйвер для повышения привилегий, отключения решений безопасности и получения контроля над системой.
Было обнаружено два разных образца, оба с эксплойтами доступными на GitHub: один из них эксплуатирует уязвимый драйвер, известный как RentDrv2, а другой — драйвер ThreatFireMonitor, компонент устаревшего пакета мониторинга системы.
EDRKillShifter может доставлять различные полезные нагрузки драйверов в зависимости от потребностей злоумышленников, а языковые свойства вредоносной программы указывают на то, что она была скомпилирована на компьютере с русской локализацией.
Около минуты
16 августа 2024