Perisian Hasad EDRKillShifter

Kumpulan jenayah siber yang dikaitkan dengan RansomHub Ransomware telah dikesan menggunakan alat baharu yang bertujuan untuk melumpuhkan perisian pengesanan dan tindak balas titik akhir (EDR) pada sistem yang terjejas. Pakar keselamatan siber telah menamakan utiliti yang melumpuhkan EDR ini "EDRKillShifter." Alat ini ditemui berikutan percubaan perisian tebusan yang gagal pada Mei 2024. EDRKillShifter kini menyertai program lain yang serupa, seperti AuKill (juga dikenali sebagai AvNeutralizer) dan Terminator.

EDRKillShifter berfungsi sebagai 'pemuat' boleh laku, berfungsi sebagai mekanisme penghantaran untuk pemandu yang sah tetapi terdedah—alat jenis ini biasanya dikenali sebagai 'bawa pemandu terdedah anda sendiri' (BYOVD). Bergantung pada objektif aktor ancaman, ia boleh menggunakan pelbagai muatan pemandu.

Wajah Baru Kumpulan Jenayah Siber Lama

Ransomware RansomHub dipercayai versi penjenamaan semula Knight Ransomwar e, muncul pada Februari 2024. Ia mengeksploitasi kelemahan keselamatan yang diketahui untuk mendapatkan akses awal, menggunakan alatan desktop jauh yang sah seperti Atera dan Splashtop untuk mengekalkan akses berterusan. Baru bulan lepas, Microsoft mendedahkan bahawa kumpulan jenayah siber terkenal Scattered Spider telah menambah jenis perisian tebusan seperti RansomHub dan Qilin pada kit alatnya.

Rantaian Serangan dan Operasi EDRKillShifter

Dilaksanakan melalui baris arahan dengan input rentetan kata laluan, boleh laku menyahsulit sumber terbenam bernama BIN dan menjalankannya terus dalam ingatan. Sumber BIN ini membongkar dan melaksanakan muatan akhir berasaskan Go, mengelirukan, yang mengeksploitasi pelbagai pemacu sah yang terdedah untuk memperoleh keistimewaan yang tinggi dan melumpuhkan perisian EDR.

Sifat bahasa binari ditetapkan kepada bahasa Rusia, menunjukkan bahawa perisian hasad telah disusun pada sistem dengan tetapan penyetempatan Rusia. Semua alat yang melumpuhkan EDR yang dibongkar membenamkan pemacu yang terdedah dalam bahagian .data.

Adalah disyorkan untuk memastikan sistem dikemas kini, mendayakan perlindungan gangguan dalam perisian EDR dan mengekalkan amalan keselamatan yang kukuh untuk peranan Windows untuk mengurangkan ancaman ini. Serangan ini hanya boleh dilaksanakan jika penyerang boleh meningkatkan keistimewaan atau mendapat hak pentadbir. Memastikan pemisahan yang jelas antara keistimewaan pengguna dan pentadbir boleh membantu dalam menghalang penyerang daripada memuatkan pemandu yang rosak dengan mudah.

Bagaimana untuk Meningkatkan Keselamatan Peranti Anda terhadap Jangkitan Perisian Hasad?

Untuk mengukuhkan keselamatan peranti dan melindungi daripada jangkitan perisian hasad, pengguna digalakkan untuk menggunakan amalan terbaik komprehensif berikut:

• Kemas Kini Perisian Biasa: Sistem Pengendalian: Pastikan sistem pengendalian anda sentiasa dinaik taraf dengan patch keselamatan dan kemas kini terkini untuk menangani dan membetulkan kelemahan yang diketahui. Aplikasi: Kemas kini secara kerap semua perisian yang dipasang, termasuk penyemak imbas Web, pemalam dan aplikasi lain, untuk mengekalkan keselamatan dan kefungsian.

• Kata Laluan yang Kuat dan Unik: Kerumitan Kata Laluan: Cipta kata laluan kompleks yang menggabungkan huruf, nombor dan simbol untuk meningkatkan keselamatan. Pengurusan Kata Laluan: Gunakan pengurus kata laluan yang bereputasi untuk menjana, menyimpan dan mengurus kata laluan unik untuk setiap akaun, dengan itu mengurangkan risiko pelanggaran berkaitan kata laluan.

• Pengesahan Dua Faktor (2FA) : Keselamatan Tambahan: Laksanakan pengesahan dua faktor pada semua akaun dan perkhidmatan yang menyokongnya, menambah satu lagi lapisan keselamatan melangkaui kata laluan tradisional.

• Perisian Anti-Hasad: Perlindungan Masa Nyata: Pasang dan selenggara program anti-perisian hasad yang dipercayai yang menawarkan perlindungan masa nyata dan menjalankan imbasan tetap untuk mengesan dan meneutralkan ancaman. Kemas Kini Program: Kemas kini program keselamatan ini secara kerap untuk memastikan ia boleh mengenal pasti dan memerangi ancaman baharu dan yang muncul dengan berkesan.

• Amalan Penyemakan Imbas Selamat: Elakkan Pautan Meragukan: Elakkan daripada mengakses pautan atau memuat turun lampiran daripada e-mel yang tidak dikenali atau mencurigakan untuk mengelakkan jangkitan perisian hasad. Sahkan Tapak Web: Pastikan anda menavigasi ke tapak web yang selamat dan sah dengan menyemak HTTPS dalam URL sebelum memasukkan sebarang maklumat peribadi.

• Sandaran Biasa: Sandaran Data: Kerap membuat sandaran data kritikal ke peranti storan bebas atau perkhidmatan awan untuk meminimumkan potensi kehilangan data sekiranya berlaku serangan perisian hasad.

• Konfigurasi Firewall: Perlindungan Rangkaian: Gunakan tembok api untuk mengawal selia trafik rangkaian masuk dan keluar, dengan itu menyekat akses tanpa kebenaran dan meningkatkan keselamatan rangkaian.

• Keistimewaan Pengguna: Prinsip Keistimewaan Paling Rendah: Daripada akaun pentadbir, kendalikan menggunakan akaun pengguna biasa untuk mengehadkan potensi kesan perisian hasad pada operasi sistem. Akaun Asing: Kekalkan akaun yang berbeza untuk aktiviti rutin dan tugas pentadbiran untuk mengurangkan risiko peningkatan keistimewaan yang tidak dibenarkan.

• Pendidikan dan Kesedaran: Kesedaran Phishing: Sentiasa mendapat maklumat tentang taktik pancingan data biasa dan taktik kejuruteraan sosial untuk mengurangkan kemungkinan menjadi mangsa serangan sedemikian. Latihan Berterusan: Melibatkan diri secara berterusan dalam latihan dan sumber pendidikan untuk kekal dikemas kini tentang ancaman keselamatan terkini dan amalan terbaik.

Dengan mengamalkan amalan terbaik ini, pengguna boleh meningkatkan pertahanan mereka dengan ketara terhadap jangkitan perisian hasad dan ancaman keselamatan lain, meningkatkan keselamatan dan integriti sistem secara keseluruhan.

Video Perisian Hasad EDRKillShifter

Petua: HIDUPKAN bunyi anda dan tonton video dalam mod Skrin Penuh .