Malware EDRKillShifter

Un gruppo di criminalità informatica associato al RansomHub Ransomware è stato individuato mentre distribuiva un nuovo strumento volto a disabilitare il software di rilevamento e risposta degli endpoint (EDR) sui sistemi compromessi. Gli esperti di sicurezza informatica hanno chiamato questa utility di disabilitazione EDR "EDRKillShifter". Lo strumento è stato scoperto in seguito a un tentativo di ransomware fallito nel maggio 2024. EDRKillShifter ora si unisce ad altri programmi simili, come AuKill (noto anche come AvNeutralizer) e Terminator.

EDRKillShifter funziona come un eseguibile 'loader', che funge da meccanismo di distribuzione per un driver legittimo ma vulnerabile: questo tipo di strumento è in genere noto come 'bring your own vulnerability driver' (BYOVD). A seconda degli obiettivi dell'attore della minaccia, può distribuire vari payload di driver.

Nuovo volto di un vecchio gruppo di criminalità informatica

Il Ransomware RansomHub , ritenuto una versione rinominata di Knight Ransomwar e, è emerso nel febbraio 2024. Sfrutta vulnerabilità di sicurezza note per ottenere l'accesso iniziale, distribuendo strumenti legittimi per desktop remoto come Atera e Splashtop per mantenere un accesso persistente. Solo il mese scorso, Microsoft ha rivelato che il famigerato gruppo di criminalità informatica Scattered Spider ha aggiunto ceppi di ransomware come RansomHub e Qilin al suo toolkit.

Catena di attacco e funzionamento di EDRKillShifter

Eseguito tramite la riga di comando con un input di stringa di password, l'eseguibile decifra una risorsa incorporata denominata BIN e la esegue direttamente in memoria. Questa risorsa BIN decomprime ed esegue un payload offuscato finale basato su Go, che sfrutta vari driver vulnerabili e legittimi per ottenere privilegi elevati e disabilitare il software EDR.

La proprietà di lingua del binario è impostata su russo, il che suggerisce che il malware è stato compilato su un sistema con impostazioni di localizzazione russe. Tutti gli strumenti di disabilitazione EDR non compressi incorporano un driver vulnerabile nella sezione .data.

Si consiglia di mantenere i sistemi aggiornati, abilitare la protezione antimanomissione nel software EDR e mantenere solide pratiche di sicurezza per i ruoli Windows per mitigare questa minaccia. Questo attacco è fattibile solo se l'aggressore può aumentare i privilegi o ottenere diritti di amministratore. Garantire una netta separazione tra privilegi utente e amministratore può aiutare enormemente a impedire agli aggressori di caricare facilmente driver corrotti.

Come aumentare la sicurezza dei tuoi dispositivi contro le infezioni da malware?

Per rafforzare la sicurezza dei dispositivi e proteggerli dalle infezioni da malware, si incoraggiano gli utenti ad adottare le seguenti best practice complete:

• Aggiornamenti software regolari: Sistema operativo: assicurati che il tuo sistema operativo venga regolarmente aggiornato con le ultime patch di sicurezza e gli aggiornamenti per affrontare e correggere le vulnerabilità note. Applicazioni: aggiorna regolarmente tutto il software installato, inclusi browser Web, plugin e altre applicazioni, per mantenere sicurezza e funzionalità.

• Password forti e uniche: Complessità delle password: crea password complesse che combinano lettere, numeri e simboli per migliorare la sicurezza. Gestione delle password: utilizza un gestore di password affidabile per generare, archiviare e gestire password uniche per ogni account, riducendo così il rischio di violazioni correlate alle password.

• Autenticazione a due fattori (2FA) : sicurezza aggiuntiva: implementa l'autenticazione a due fattori su tutti gli account e servizi che la supportano, aggiungendo un ulteriore livello di sicurezza oltre alle password tradizionali.

• Software anti-malware: protezione in tempo reale: installa e gestisci programmi anti-malware affidabili che offrono protezione in tempo reale ed eseguono scansioni regolari per rilevare e neutralizzare le minacce. Aggiornamenti del programma: aggiorna regolarmente questi programmi di sicurezza per garantire che possano identificare e combattere efficacemente minacce nuove ed emergenti.

• Pratiche di navigazione sicura: Evita link sospetti: evita di accedere a link o scaricare allegati da email sconosciute o sospette per prevenire infezioni da malware. Verifica siti web: assicurati di navigare su siti web sicuri e legittimi verificando la presenza di HTTPS nell'URL prima di immettere informazioni private.

• Backup regolari: Backup dei dati: eseguire frequentemente il backup dei dati critici su un dispositivo di archiviazione indipendente o su un servizio cloud per ridurre al minimo la potenziale perdita di dati in caso di attacco malware.

• Configurazione del firewall: protezione della rete: utilizzare un firewall per regolare il traffico di rete in entrata e in uscita, bloccando così l'accesso non autorizzato e migliorando la sicurezza della rete.

• Privilegi utente: Principio del privilegio minimo: invece di un account amministratore, utilizzare un account utente normale per limitare il potenziale impatto del malware sulle operazioni di sistema. Account separati: mantenere account distinti per le attività di routine e le attività amministrative per mitigare il rischio di escalation dei privilegi non autorizzati.

• Formazione e consapevolezza: consapevolezza del phishing: tieniti informato sulle comuni tattiche di phishing e di ingegneria sociale per ridurre la possibilità di cadere vittima di tali attacchi. Formazione continua: impegnati costantemente in risorse formative e didattiche per rimanere aggiornato sulle ultime minacce alla sicurezza e sulle best practice.

Adottando queste best practice, gli utenti possono rafforzare significativamente le proprie difese contro le infezioni da malware e altre minacce alla sicurezza, migliorando la sicurezza e l'integrità complessiva del sistema.

Malware EDRKillShifter Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .