Multi-License Discount Quote
Banco de Dados de Ameaças Malware EDRKillShifter Malware

EDRKillShifter Malware

Por Mezo em Malware
Traduzir Para:
Português

Um grupo de crimes cibernéticos associado ao RansomHub Ransomware foi flagrado implantando uma nova ferramenta destinada a desabilitar o software de detecção e resposta de endpoint (EDR) em sistemas comprometidos. Especialistas em segurança cibernética chamaram esse utilitário de desabilitação de EDR de "EDRKillShifter". A ferramenta foi descoberta após uma tentativa fracassada de ransomware em maio de 2024. O EDRKillShifter agora se junta a outros programas semelhantes, como o AuKill (também conhecido como AvNeutralizer) e Terminator.

O EDRKillShifter funciona como um executável 'loader', servindo como um mecanismo de entrega para um driver legítimo, mas vulnerável — esse tipo de ferramenta é tipicamente conhecido como 'bring your own vulnerability driver' (BYOVD). Dependendo dos objetivos do agente da ameaça, ele pode implantar várias cargas úteis de driver.

A Nova Face de um Antigo Grupo de Crimes Cibernéticos

O RansomHub Ransomware, que se acredita ser uma versão renomeada do Knight Ransomwar e, surgiu em fevereiro de 2024. Ele explora vulnerabilidades de segurança conhecidas para obter acesso inicial, implantando ferramentas legítimas de desktop remoto como Atera e Splashtop para manter o acesso persistente. No mês passado, a Microsoft revelou que o infame grupo de crimes cibernéticos Scattered Spider adicionou cepas de ransomware como RansomHub e Qilin ao seu kit de ferramentas.

A Cadeia de Ataque e Operação do EDRKIllShifter

Executado via linha de comando com uma entrada de string de senha, o executável descriptografa um recurso incorporado chamado BIN e o executa diretamente na memória. Esse recurso BIN descompacta e executa uma carga útil ofuscada baseada em Go final, que explora vários drivers vulneráveis e legítimos para obter privilégios elevados e desabilitar o software EDR.

A propriedade de idioma do binário está definida como russo, sugerindo que o malware foi compilado em um sistema com configurações de localização em russo. Todas as ferramentas de desabilitação de EDR descompactadas incorporam um driver vulnerável dentro da seção .data.

É recomendado manter os sistemas atualizados, habilitar a proteção contra adulteração no software EDR e manter práticas de segurança fortes para funções do Windows para mitigar essa ameaça. Esse ataque só é viável se o invasor puder escalar privilégios ou obter direitos de administrador. Garantir uma separação clara entre privilégios de usuário e administrador pode ajudar tremendamente a evitar que invasores carreguem facilmente drivers corrompidos.

Como Aumentar a Segurança dos Seus Dispositivos contra Infecções por Malware?

Para fortalecer a segurança do dispositivo e protegê-lo contra infecções de malware, os usuários são incentivados a adotar as seguintes práticas recomendadas abrangentes:

  • Atualizações regulares de software: Sistema operacional: certifique-se de que seu sistema operacional seja atualizado regularmente com os últimos patches e atualizações de segurança para abordar e retificar vulnerabilidades conhecidas. Aplicativos: atualize regularmente todos os softwares instalados, incluindo navegadores da Web, plug-ins e outros aplicativos, para manter a segurança e a funcionalidade.
  • Senhas Fortes e Únicas: Complexidade de Senha: Crie senhas complexas que combinem letras, números e símbolos para aumentar a segurança. Gerenciamento de Senha: Utilize um gerenciador de senhas confiável para gerar, armazenar e gerenciar senhas exclusivas para cada conta, reduzindo assim o risco de violações relacionadas a senhas.
  • Autenticação de Dois Fatores (2FA) : Segurança adicional: implemente a autenticação de dois fatores em todas as contas e serviços que a suportam, adicionando mais uma camada de segurança além das senhas tradicionais.
  • Software Anti-Malware: Proteção em tempo real: instale e mantenha programas antimalware confiáveis que oferecem proteção em tempo real e conduzem varreduras regulares para detectar e neutralizar ameaças. Atualizações de programa: atualize regularmente esses programas de segurança para garantir que eles possam identificar e combater ameaças novas e emergentes de forma eficaz.
  • Práticas de navegação segura: Evite links suspeitos: evite acessar links ou baixar anexos de e-mails desconhecidos ou suspeitos para evitar infecções por malware. Verifique sites: certifique-se de que você está navegando em sites seguros e legítimos verificando se há HTTPS no URL antes de inserir qualquer informação privada.
  • Backups regulares: Backup de dados: faça backups frequentes de dados críticos em um dispositivo de armazenamento independente ou em um serviço de nuvem para minimizar a potencial perda de dados no caso de um ataque de malware.
  • Configuração de firewall: Proteção de rede: Empregue um firewall para regular o tráfego de rede de entrada e saída, bloqueando assim o acesso não autorizado e aumentando a segurança da rede.
  • Privilégios do usuário: Princípio do menor privilégio: em vez de uma conta de administrador, opere usando uma conta de usuário comum para limitar o impacto potencial de malware nas operações do sistema. Contas separadas: mantenha contas distintas para atividades de rotina e tarefas administrativas para mitigar o risco de escalonamento de privilégios não autorizados.
  • Educação e conscientização: Conscientização sobre phishing: mantenha-se informado sobre táticas comuns de phishing e engenharia social para diminuir a possibilidade de ser vítima de tais ataques. Treinamento contínuo: participe continuamente de treinamentos e recursos educacionais para se manter atualizado sobre as últimas ameaças de segurança e melhores práticas.

Ao adotar essas práticas recomendadas, os usuários podem reforçar significativamente suas defesas contra infecções de malware e outras ameaças à segurança, melhorando a segurança e a integridade geral do sistema.

 

EDRKillShifter Malware Vídeo

Dica: Ligue o som e assistir o vídeo em modo de tela cheia.

Tendendo

Mais visto

Carregando...