EDRKillShifter Malware

Până în Mezo în Malware

Tradu in:

Un grup de infracțiuni cibernetice asociat cu RansomHub Ransomware a fost depistat implementând un nou instrument menit să dezactiveze software-ul de detectare și răspuns la punctele finale (EDR) pe sistemele compromise. Experții în securitate cibernetică au numit acest utilitar de dezactivare a EDR „EDRKillShifter”. Instrumentul a fost descoperit în urma unei încercări eșuate de ransomware în mai 2024. EDRKillShifter se alătură acum altor programe similare, cum ar fi AuKill (cunoscut și ca AvNeutralizer) și Terminator.

EDRKillShifter funcționează ca un executabil „încărcător”, servind ca un mecanism de livrare pentru un driver legitim, dar vulnerabil — acest tip de instrument este de obicei cunoscut sub numele de „aduceți propriul driver vulnerabil” (BYOVD). În funcție de obiectivele actorului amenințării, acesta poate implementa diverse încărcături utile de șofer.

Cuprins

Noua față a unui vechi grup de criminalitate cibernetică

RansomHub Ransomware despre care se crede că este o versiune rebranded a Knight Ransomwar e, a apărut în februarie 2024. Acesta exploatează vulnerabilitățile de securitate cunoscute pentru a obține acces inițial, implementând instrumente legitime de desktop la distanță precum Atera și Splashtop pentru a menține accesul persistent. Chiar luna trecută, Microsoft a dezvăluit că infamul grup de criminalitate cibernetică Scattered Spider a adăugat tulpini de ransomware precum RansomHub și Qilin la trusa de instrumente.

Lanțul de atac și funcționarea lui EDRKillShifter

Executat prin linia de comandă cu introducerea unui șir de parolă, executabilul decriptează o resursă încorporată numită BIN și o rulează direct în memorie. Această resursă BIN despachetează și execută o sarcină utilă finală bazată pe Go, care exploatează diverse drivere vulnerabile și legitime pentru a obține privilegii ridicate și a dezactiva software-ul EDR.

Proprietatea de limbă a binarului este setată la rusă, ceea ce sugerează că malware-ul a fost compilat pe un sistem cu setări de localizare în limba rusă. Toate instrumentele de dezactivare EDR dezambalate încorporează un driver vulnerabil în secțiunea .data.

Este recomandat să păstrați sistemele actualizate, să activați protecția împotriva modificărilor în software-ul EDR și să mențineți practici de securitate puternice pentru rolurile Windows pentru a atenua această amenințare. Acest atac este fezabil numai dacă atacatorul poate escalada privilegiile sau obține drepturi de administrator. Asigurarea unei separări clare între privilegiile de utilizator și cele de administrator poate ajuta enorm la prevenirea atacatorilor să încarce cu ușurință driverele corupte.

Cum să creșteți securitatea dispozitivelor dvs. împotriva infecțiilor cu malware?

Pentru a consolida securitatea dispozitivului și a proteja împotriva infecțiilor cu programe malware, utilizatorii sunt încurajați să adopte următoarele bune practici cuprinzătoare:

Actualizări regulate de software: Sistem de operare: Asigurați-vă că sistemul dvs. de operare este actualizat în mod regulat cu cele mai recente patch-uri și actualizări de securitate pentru a aborda și a remedia vulnerabilitățile cunoscute. Aplicații: actualizați în mod regulat toate software-urile instalate, inclusiv browserele web, pluginurile și alte aplicații, pentru a menține securitatea și funcționalitatea.

Parole puternice și unice: Complexitatea parolei: creați parole complexe care combină litere, cifre și simboluri pentru a spori securitatea. Gestionarea parolelor: utilizați un manager de parole reputat pentru a genera, stoca și gestiona parole unice pentru fiecare cont, reducând astfel riscul încălcării legate de parole.

Autentificare cu doi factori (2FA) : Securitate suplimentară: implementați autentificarea cu doi factori pentru toate conturile și serviciile care o acceptă, adăugând încă un nivel de securitate dincolo de parolele tradiționale.

Software anti-malware: Protecție în timp real: Instalați și mențineți programe anti-malware de încredere care oferă protecție în timp real și efectuează scanări regulate pentru a detecta și neutraliza amenințările. Actualizări ale programului: actualizați în mod regulat aceste programe de securitate pentru a vă asigura că pot identifica și combate eficient amenințările noi și emergente.

Practici de navigare sigură: Evitați linkurile suspecte: abțineți de la accesarea link-urilor sau descărcarea atașamentelor din e-mailuri nefamiliare sau suspecte pentru a preveni infecțiile cu programe malware. Verificați site-urile web: asigurați-vă că navigați către site-uri web sigure și legitime verificând HTTPS în adresa URL înainte de a introduce orice informații private.

Backup-uri regulate: Backup de date: faceți frecvent copii de siguranță ale datelor critice pe un dispozitiv de stocare independent sau pe un serviciu cloud pentru a minimiza potențiala pierdere de date în cazul unui atac malware.

Configurație firewall: Protecția rețelei: Folosiți un firewall pentru a reglementa atât traficul de rețea de intrare, cât și de ieșire, blocând astfel accesul neautorizat și sporind securitatea rețelei.

Privilegii utilizator: Principiul privilegiilor minime: în loc de un cont de administrator, operați folosind un cont de utilizator obișnuit pentru a limita impactul potențial al malware-ului asupra operațiunilor sistemului. Conturi separate: mențineți conturi distincte pentru activitățile de rutină și sarcinile administrative pentru a reduce riscul de escaladare neautorizată a privilegiilor.

Educație și conștientizare: Conștientizarea phishing-ului: Rămâneți informat despre tacticile comune de phishing și despre tacticile de inginerie socială pentru a diminua posibilitatea de a deveni victima unor astfel de atacuri. Formare continuă: Angajați-vă continuu în resurse educaționale și de instruire pentru a rămâne la curent cu cele mai recente amenințări de securitate și cele mai bune practici.

Prin adoptarea acestor bune practici, utilizatorii își pot consolida în mod semnificativ apărarea împotriva infecțiilor malware și a altor amenințări de securitate, îmbunătățind securitatea și integritatea sistemului general.