Multi-License Discount Quote
Uhatietokanta Malware EDRKillShifter -haittaohjelma

EDRKillShifter -haittaohjelma

Vuonna Mezo vuonna Malware
Käännä:
Suomi

RansomHub Ransomwareen liittyvä tietoverkkorikollisuusryhmä on havaittu ottavan käyttöön uutta työkalua, jonka tarkoituksena on poistaa käytöstä päätepisteiden tunnistus- ja vastausohjelmistot (EDR) vaarantuneissa järjestelmissä. Kyberturvallisuusasiantuntijat ovat antaneet tälle EDR:n estävän apuohjelman nimeksi "EDRKillShifter". Työkalu löydettiin epäonnistuneen kiristysohjelmayrityksen jälkeen toukokuussa 2024. EDRKillShifter liittyy nyt muihin vastaaviin ohjelmiin, kuten AuKilliin (tunnetaan myös nimellä AvNeutralizer) ja Terminatoriin.

EDRKillShifter toimii "latausohjelmana", joka toimii laillisen mutta haavoittuvan ohjaimen toimitusmekanismina. Tämän tyyppinen työkalu tunnetaan yleensä nimellä "tuo oma haavoittuva ohjain" (BYOVD). Uhkatoimijan tavoitteista riippuen se voi käyttää erilaisia kuljettajien hyötykuormia.

Vanhan tietoverkkorikollisryhmän uudet kasvot

RansomHub Ransomwaren uskotaan olevan uusi versio Knight Ransomwar e:stä, joka ilmestyi helmikuussa 2024. Se hyödyntää tunnettuja tietoturva-aukkoja päästäkseen alkuun ja ottaa käyttöön laillisia etätyöpöytätyökaluja, kuten Atera ja Splashtop, ylläpitämään jatkuvaa käyttöä. Juuri viime kuussa Microsoft paljasti, että pahamaineinen tietoverkkorikollisuusryhmä Scattered Spider on lisännyt työkalupakkiinsa kiristysohjelmakantoja, kuten RansomHub ja Qilin.

Hyökkäysketju ja EDRKillShifterin toiminta

Suoritetaan komentorivin kautta salasanamerkkijonon syötteellä, ja se purkaa sulautetun BIN-nimisen resurssin salauksen ja ajaa sen suoraan muistiin. Tämä BIN-resurssi purkaa ja suorittaa viimeisen Go-pohjaisen, hämärtyneen hyötykuorman, joka hyödyntää useita haavoittuvia, laillisia ohjaimia saadakseen lisäoikeuksia ja poistaakseen EDR-ohjelmiston käytöstä.

Binaarin kieliominaisuus on asetettu venäjäksi, mikä viittaa siihen, että haittaohjelma on käännetty järjestelmään, jossa on venäjän lokalisointiasetukset. Kaikki pakkaamattomat EDR-estotyökalut upottavat haavoittuvan ohjaimen .data-osioon.

On suositeltavaa pitää järjestelmät ajan tasalla, ottaa käyttöön peukalointisuojaus EDR-ohjelmistoissa ja ylläpitää vahvoja suojauskäytäntöjä Windows-rooleille tämän uhan vähentämiseksi. Tämä hyökkäys on mahdollista vain, jos hyökkääjä voi laajentaa oikeuksia tai saada järjestelmänvalvojan oikeudet. Selkeän eron varmistaminen käyttäjän ja järjestelmänvalvojan oikeuksien välillä voi auttaa valtavasti estämään hyökkääjiä lataamasta helposti vioittuneita ohjaimia.

Kuinka parantaa laitteidesi turvallisuutta haittaohjelmatartuntoja vastaan?

Laitteen turvallisuuden vahvistamiseksi ja haittaohjelmatartunnalta suojaamiseksi käyttäjiä kehotetaan ottamaan käyttöön seuraavat kattavat parhaat käytännöt:

  • Säännölliset ohjelmistopäivitykset: Käyttöjärjestelmä: Varmista, että käyttöjärjestelmääsi päivitetään säännöllisesti uusimmilla tietoturvakorjauksilla ja päivityksillä tunnettujen haavoittuvuuksien korjaamiseksi ja korjaamiseksi. Sovellukset: Päivitä säännöllisesti kaikki asennetut ohjelmistot, mukaan lukien verkkoselaimet, laajennukset ja muut sovellukset turvallisuuden ja toiminnallisuuden ylläpitämiseksi.
  • Vahvat ja ainutlaatuiset salasanat: Salasanan monimutkaisuus: Luo monimutkaisia salasanoja, jotka yhdistävät kirjaimia, numeroita ja symboleja turvallisuuden parantamiseksi. Salasanan hallinta: Käytä hyvämaineista salasananhallintaohjelmaa yksilöllisten salasanojen luomiseen, tallentamiseen ja hallintaan kullekin tilille, mikä vähentää salasanoihin liittyvien rikkomusten riskiä.
  • Kaksivaiheinen todennus (2FA) : Lisäsuojaus: Ota kaksivaiheinen todennus käyttöön kaikissa sitä tukevissa tileissä ja palveluissa, mikä lisää yhden suojakerroksen perinteisten salasanojen lisäksi.
  • Haittaohjelmien torjuntaohjelmisto: Reaaliaikainen suojaus: Asenna ja ylläpidä luotettavia haittaohjelmien torjuntaohjelmia, jotka tarjoavat reaaliaikaisen suojan ja suorittavat säännöllisiä tarkistuksia uhkien havaitsemiseksi ja neutraloimiseksi. Ohjelmapäivitykset: Päivitä nämä suojausohjelmat säännöllisesti varmistaaksesi, että ne voivat tunnistaa ja torjua uusia ja uusia uhkia tehokkaasti.
  • Selaussuojakäytännöt: Vältä epäilyttäviä linkkejä: Vältä käyttämästä linkkejä tai lataamasta liitteitä tuntemattomista tai epäilyttävistä sähköpostiviesteistä haittaohjelmatartuntojen estämiseksi. Verkkosivustojen vahvistaminen: Varmista, että siirryt suojatuille ja laillisille verkkosivustoille tarkistamalla URL-osoitteen HTTPS ennen yksityisten tietojen syöttämistä.
  • Säännölliset varmuuskopiot: Tietojen varmuuskopiointi: Varmuuskopioi usein tärkeitä tietoja itsenäiseen tallennuslaitteeseen tai pilvipalveluun minimoidaksesi mahdollisen tietojen menetyksen haittaohjelmahyökkäyksen sattuessa.
  • Palomuurin asetukset: Verkkosuojaus: Käytä palomuuria säätelemään sekä saapuvaa että lähtevää verkkoliikennettä, mikä estää luvattoman käytön ja parantaa verkon turvallisuutta.
  • Käyttäjän oikeudet: Vähiten oikeuksien periaate: Käytä järjestelmänvalvojan tilin sijaan tavallista käyttäjätiliä rajoittaaksesi haittaohjelmien mahdollista vaikutusta järjestelmän toimintaan. Erilliset tilit: Ylläpidä erillisiä tilejä rutiinitoiminnoille ja hallinnollisille tehtäville, jotta voit vähentää luvattomien oikeuksien leviämisen riskiä.
  • Koulutus ja tietoisuus: Tietojenkalastelu: Pysy ajan tasalla yleisistä tietojenkalastelutaktiikoista ja sosiaalisen manipuloinnin taktiikoista vähentääksesi mahdollisuutta joutua tällaisten hyökkäysten uhriksi. Jatkuva koulutus: Osallistu jatkuvasti koulutus- ja koulutusresursseihin pysyäksesi ajan tasalla uusimmista tietoturvauhkista ja parhaista käytännöistä.

Ottamalla nämä parhaat käytännöt käyttöön käyttäjät voivat merkittävästi vahvistaa puolustustaan haittaohjelmatartuntoja ja muita tietoturvauhkia vastaan, mikä parantaa järjestelmän yleistä turvallisuutta ja eheyttä.

EDRKillShifter -haittaohjelma Video

Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .

Trendaavat

Eniten katsottu

Ladataan...