תוכנה זדונית של EDRKillShifter

עד Mezo ב-Malware

לתרגם ל:

קבוצת פשעי סייבר הקשורה ל-RansomHub Ransomware נצפתה כשהיא פורסת כלי חדש שמטרתו להשבית תוכנת זיהוי ותגובה של נקודות קצה (EDR) במערכות שנפגעו. מומחי אבטחת סייבר כינו את כלי השירות הזה לנטרול EDR "EDRKillShifter". הכלי התגלה בעקבות ניסיון כופר כושל במאי 2024. EDRKillShifter מצטרף כעת לתוכנות דומות אחרות, כמו AuKill (הידועה גם בשם AvNeutralizer) ו-Terminator.

EDRKillShifter מתפקד כקובץ הפעלה 'מטעין', ומשמש כמנגנון מסירה לנהג לגיטימי אך פגיע - סוג זה של כלי ידוע בדרך כלל בתור 'הבא את הנהג הפגיע שלך' (BYOVD). בהתאם למטרות של שחקן האיום, הוא יכול לפרוס מטענים שונים של נהגים.

תוכן העניינים

פנים חדשות של קבוצת פשעי סייבר ישנה

RansomHub Ransomware נחשב לגרסה מחודשת של Knight Ransomwar e, הופיעה בפברואר 2024. היא מנצלת פרצות אבטחה ידועות כדי לקבל גישה ראשונית, תוך פריסת כלים לגיטימיים לשולחן עבודה מרוחק כמו Atera ו- Splashtop כדי לשמור על גישה מתמשכת. רק בחודש שעבר, מיקרוסופט חשפה כי קבוצת פשעי הסייבר הידועה לשמצה Scattered Spider הוסיפה זני תוכנות כופר כמו RansomHub ו-Qilin לערכת הכלים שלה.

שרשרת התקפה ותפעול של EDRkillShifter

מבוצע באמצעות שורת הפקודה עם קלט מחרוזת סיסמה, קובץ ההפעלה מפענח משאב מוטבע בשם BIN ומריץ אותו ישירות בזיכרון. משאב BIN זה פורק ומבצע מטען אחרון מבוסס Go, מעורפל, המנצל מנהלי התקנים פגיעים ולגיטימיים שונים כדי להשיג הרשאות מוגברות ולהשבית תוכנת EDR.

מאפיין השפה של הבינארי מוגדר לרוסית, מה שמרמז על כך שהתוכנה הזדונית הוידורה במערכת עם הגדרות לוקליזציה רוסית. כל הכלים להשבתת EDR לא ארוזים מטמיעים מנהל התקן פגיע בקטע ‎.data.

מומלץ לעדכן את המערכות, לאפשר הגנה מפני חבלה בתוכנת EDR ולשמור על נוהלי אבטחה חזקים עבור תפקידי Windows כדי להפחית את האיום הזה. התקפה זו אפשרית רק אם התוקף יכול להסלים הרשאות או לקבל זכויות מנהל. הבטחת הפרדה ברורה בין הרשאות המשתמש והמנהל יכול לעזור מאוד במניעת תוקפים מלטעון בקלות מנהלי התקנים פגומים.

כיצד להגביר את האבטחה של המכשירים שלך מפני זיהומים של תוכנות זדוניות?

כדי לחזק את אבטחת המכשיר ולהגן מפני הדבקות בתוכנות זדוניות, מומלץ למשתמשים לאמץ את השיטות המומלצות המקיפות הבאות:

עדכוני תוכנה רגילים: מערכת הפעלה: ודא שמערכת ההפעלה שלך משודרגת באופן קבוע עם תיקוני האבטחה והעדכונים האחרונים כדי לטפל ולתקן פגיעויות ידועות. יישומים: עדכן באופן קבוע את כל התוכנות המותקנות, כולל דפדפני אינטרנט, תוספים ויישומים אחרים, כדי לשמור על אבטחה ופונקציונליות.

סיסמאות חזקות וייחודיות: מורכבות סיסמאות: צור סיסמאות מורכבות המשלבות אותיות, מספרים וסמלים כדי לשפר את האבטחה. ניהול סיסמאות: השתמש במנהל סיסמאות מכובד כדי ליצור, לאחסן ולנהל סיסמאות ייחודיות עבור כל חשבון, ובכך להפחית את הסיכון להפרות הקשורות לסיסמאות.

אימות דו-גורמי (2FA) : אבטחה נוספת: הטמעת אימות דו-גורמי בכל החשבונות והשירותים התומכים בו, הוספת שכבת אבטחה נוספת מעבר לסיסמאות מסורתיות.

תוכנה נגד תוכנות זדוניות: הגנה בזמן אמת: התקן ותחזק תוכניות אנטי-זדוניות מהימנות המציעות הגנה בזמן אמת ומבצעות סריקות סדירות כדי לזהות ולנטרל איומים. עדכוני תוכניות: עדכן באופן קבוע את תוכניות האבטחה הללו כדי להבטיח שהן יוכלו לזהות ולהילחם באיומים חדשים ומתעוררים ביעילות.

נוהלי גלישה בטוחה: הימנע מקישורים חשודים: הימנע מגישה לקישורים או הורדת קבצים מצורפים מהודעות דוא"ל לא מוכרות או חשודות כדי למנוע זיהומים של תוכנות זדוניות. אמת אתרים: ודא שאתה מנווט לאתרים מאובטחים ולגיטימיים על ידי בדיקת HTTPS בכתובת האתר לפני הזנת מידע פרטי כלשהו.

גיבויים רגילים: גיבוי נתונים: תכופות גיבוי נתונים קריטיים להתקן אחסון עצמאי או שירות ענן כדי למזער אובדן פוטנציאלי של נתונים במקרה של התקפת תוכנה זדונית.

תצורת חומת אש: הגנת רשת: השתמש בחומת אש כדי לווסת את תעבורת הרשת הנכנסת והיוצאת, ובכך לחסום גישה לא מורשית ולשפר את אבטחת הרשת.

הרשאות משתמש: עיקרון הרשאות הכי פחות: במקום חשבון מנהל, פעל באמצעות חשבון משתמש רגיל כדי להגביל את ההשפעה הפוטנציאלית של תוכנות זדוניות על פעולות המערכת. חשבונות נפרדים: שמור על חשבונות נפרדים עבור פעילויות שגרתיות ומשימות ניהוליות כדי להפחית את הסיכון של הסלמה בלתי מורשית של הרשאות.

חינוך ומודעות: מודעות דיוג: הישאר מעודכן לגבי טקטיקות דיוג נפוצות וטקטיקות הנדסה חברתית כדי להפחית את האפשרות ליפול קורבן להתקפות כאלה. הדרכה מתמשכת: עסוק באופן רציף בהדרכה ובמשאבים חינוכיים כדי להישאר מעודכן באיומי האבטחה האחרונים ובשיטות העבודה המומלצות.

על ידי אימוץ שיטות עבודה מומלצות אלה, משתמשים יכולים לחזק באופן משמעותי את ההגנה שלהם מפני זיהומים של תוכנות זדוניות ואיומי אבטחה אחרים, ולשפר את האבטחה והשלמות הכוללת של המערכת.