Multi-License Discount Quote
Base de dades d'amenaces Malware Programari maliciós EDRKillShifter

Programari maliciós EDRKillShifter

El Mezo el Malware
Traduir a:
Català

S'ha detectat un grup de ciberdelinqüència associat al RansomHub Ransomware desplegant una nova eina destinada a desactivar el programari de detecció i resposta de punts finals (EDR) en sistemes compromesos. Els experts en ciberseguretat han batejat aquesta utilitat per desactivar EDR "EDRKillShifter". L'eina es va descobrir després d'un intent fallit de ransomware el maig de 2024. EDRKillShifter s'uneix ara a altres programes similars, com ara AuKill (també conegut com a AvNeutralizer) i Terminator.

EDRKillShifter funciona com un executable de "carregador", que serveix com a mecanisme de lliurament per a un controlador legítim però vulnerable; aquest tipus d'eina es coneix normalment com a "porta el teu propi controlador vulnerable" (BYOVD). Depenent dels objectius de l'actor de l'amenaça, pot desplegar diverses càrregues útils del controlador.

Nova cara d’un antic grup de cibercrim

El RansomHub Ransomware que es creu que és una versió rebrandada del Knight Ransomwar e, va sorgir el febrer de 2024. Aprofita les vulnerabilitats de seguretat conegudes per obtenir accés inicial, desplegant eines legítimes d'escriptori remot com Atera i Splashtop per mantenir l'accés persistent. El mes passat, Microsoft va revelar que el famós grup de ciberdelinqüència Scattered Spider ha afegit soques de ransomware com RansomHub i Qilin al seu conjunt d'eines.

Cadena d’atac i funcionament de EDRKillShifter

S'executa mitjançant la línia d'ordres amb una entrada de cadena de contrasenya, l'executable desxifra un recurs incrustat anomenat BIN i l'executa directament a la memòria. Aquest recurs BIN desempaqueta i executa una càrrega útil ofuscada basada en Go, que explota diversos controladors legítims i vulnerables per obtenir privilegis elevats i desactivar el programari EDR.

La propietat d'idioma del binari està establerta en rus, cosa que suggereix que el programari maliciós es va compilar en un sistema amb configuració de localització russa. Totes les eines desempaquetades per desactivar l'EDR incrusten un controlador vulnerable a la secció .data.

Es recomana mantenir els sistemes actualitzats, habilitar la protecció contra manipulacions al programari EDR i mantenir pràctiques de seguretat sòlides per als rols de Windows per mitigar aquesta amenaça. Aquest atac només és factible si l'atacant pot augmentar els privilegis o obtenir drets d'administrador. Assegurar una separació clara entre els privilegis d'usuari i d'administrador pot ajudar enormement a evitar que els atacants carreguin fàcilment controladors danyats.

Com augmentar la seguretat dels vostres dispositius contra infeccions de programari maliciós?

Per reforçar la seguretat del dispositiu i protegir-se de les infeccions de programari maliciós, es recomana als usuaris que adoptin les pràctiques recomanades completes següents:

  • Actualitzacions periòdiques de programari: Sistema operatiu: assegureu-vos que el vostre sistema operatiu s'actualitzi periòdicament amb els darrers pedaços i actualitzacions de seguretat per abordar i rectificar les vulnerabilitats conegudes. Aplicacions: actualitzeu regularment tot el programari instal·lat, inclosos els navegadors web, els connectors i altres aplicacions, per mantenir la seguretat i la funcionalitat.
  • Contrasenyes fortes i úniques: complexitat de contrasenyes: creeu contrasenyes complexes que combinen lletres, números i símbols per millorar la seguretat. Gestió de contrasenyes: utilitzeu un gestor de contrasenyes de confiança per generar, emmagatzemar i gestionar contrasenyes úniques per a cada compte, reduint així el risc d'incompliments relacionats amb la contrasenya.
  • Autenticació de dos factors (2FA) : seguretat addicional: implementeu l'autenticació de dos factors a tots els comptes i serveis que la donen suport, afegint una capa més de seguretat més enllà de les contrasenyes tradicionals.
  • Programari anti-malware: protecció en temps real: instal·leu i mantingueu programes anti-malware de confiança que ofereixen protecció en temps real i realitzen exploracions periòdiques per detectar i neutralitzar les amenaces. Actualitzacions del programa: actualitzeu regularment aquests programes de seguretat per assegurar-vos que puguin identificar i combatre les amenaces noves i emergents amb eficàcia.
  • Pràctiques de navegació segura: eviteu enllaços sospitosos: absteniu-vos d'accedir a enllaços o descarregar fitxers adjunts de correus electrònics desconeguts o sospitosos per evitar infeccions de programari maliciós. Verifiqueu els llocs web: assegureu-vos que esteu navegant a llocs web segurs i legítims comprovant si hi ha HTTPS a l'URL abans d'introduir qualsevol informació privada.
  • Còpies de seguretat periòdiques: Còpia de seguretat de dades: feu una còpia de seguretat de dades crítiques amb freqüència en un dispositiu d'emmagatzematge independent o un servei al núvol per minimitzar la possible pèrdua de dades en cas d'atac de programari maliciós.
  • Configuració del tallafoc: Protecció de xarxa: utilitzeu un tallafoc per regular el trànsit de xarxa entrant i sortint, bloquejant així l'accés no autoritzat i millorant la seguretat de la xarxa.
  • Privilegis d'usuari: Principi de privilegi mínim: en lloc d'un compte d'administrador, feu servir un compte d'usuari normal per limitar l'impacte potencial del programari maliciós en les operacions del sistema. Comptes separats: manteniu comptes diferents per a activitats rutinàries i tasques administratives per mitigar el risc d'escalada de privilegis no autoritzada.
  • Educació i conscienciació: Consciència sobre la pesca: mantingueu-vos informat sobre les tàctiques habituals de pesca i les tàctiques d'enginyeria social per disminuir la possibilitat de ser víctimes d'aquests atacs. Formació contínua: participeu contínuament en recursos educatius i de formació per mantenir-vos actualitzats sobre les últimes amenaces de seguretat i les millors pràctiques.

Mitjançant l'adopció d'aquestes bones pràctiques, els usuaris poden reforçar significativament les seves defenses contra infeccions de programari maliciós i altres amenaces de seguretat, millorant la seguretat i la integritat generals del sistema.

Programari maliciós EDRKillShifter Vídeo

Consell: activa el so i mira el vídeo en mode de pantalla completa .

Tendència

Més vist

Carregant...