Multi-License Discount Quote
База даних загроз Malware Шкідлива програма EDRKillShifter

Шкідлива програма EDRKillShifter

До Mezo року в Malware році
Перекласти на:
Українська

Група кіберзлочинців, пов’язана з програмою-вимагачем RansomHub, була помічена в розгортанні нового інструменту, спрямованого на відключення програмного забезпечення для виявлення кінцевих точок і реагування (EDR) на скомпрометованих системах. Експерти з кібербезпеки назвали цю утиліту для відключення EDR "EDRKillShifter". Інструмент було виявлено після невдалої спроби програми-вимагача в травні 2024 року. Тепер EDRKillShifter приєднується до інших подібних програм, таких як AuKill (також відома як AvNeutralizer) і Terminator.

EDRKillShifter функціонує як «завантажувач» виконуваного файлу, служачи механізмом доставки для законного, але вразливого драйвера — цей тип інструменту зазвичай відомий як «принесіть свій власний вразливий драйвер» (BYOVD). Залежно від цілей загрози, він може розгортати різні корисні навантаження драйверів.

Нове обличчя старої кіберзлочинної групи

Програмне забезпечення-вимагач RansomHub , яке вважається ребрендинговою версією Knight Ransomwar e, з’явилося в лютому 2024 року. Воно використовує відомі вразливості безпеки, щоб отримати початковий доступ, розгортаючи законні інструменти віддаленого робочого столу, такі як Atera та Splashtop, для підтримки постійного доступу. Лише минулого місяця Microsoft оприлюднила інформацію про те, що сумно відоме кіберзлочинне угруповання Scattered Spider додало до свого інструментарію такі штами програм-вимагачів, як RansomHub і Qilin.

Ланцюг атак і робота EDRKillShifter

Виконуваний файл, що виконується через командний рядок із введенням рядка пароля, розшифровує вбудований ресурс під назвою BIN і запускає його безпосередньо в пам’яті. Цей ресурс BIN розпаковує та виконує остаточне обфусцоване корисне навантаження на основі Go, яке використовує різні вразливі законні драйвери для отримання підвищених привілеїв і відключення програмного забезпечення EDR.

Для властивості мови двійкового файлу встановлено російську, що свідчить про те, що зловмисне програмне забезпечення було скомпільовано в системі з налаштуваннями російської локалізації. Усі розпаковані засоби відключення EDR містять вразливий драйвер у розділі .data.

Щоб пом’якшити цю загрозу, рекомендується постійно оновлювати системи, увімкнути захист від несанкціонованого доступу в програмному забезпеченні EDR і підтримувати надійні методи безпеки для ролей Windows. Ця атака можлива, лише якщо зловмисник може підвищити привілеї або отримати права адміністратора. Забезпечення чіткого розподілу між правами користувача та адміністратора може значно допомогти запобігти легкому завантаженню зловмисниками пошкоджених драйверів.

Як підвищити безпеку своїх пристроїв від зараження зловмисним програмним забезпеченням?

Щоб посилити безпеку пристрою та захистити від зараження зловмисним програмним забезпеченням, користувачам пропонується застосувати наведені нижче вичерпні практичні поради.

  • Регулярні оновлення програмного забезпечення: Операційна система: переконайтеся, що ваша операційна система регулярно оновлюється останніми виправленнями безпеки та оновленнями для усунення та усунення відомих вразливостей. Програми: регулярно оновлюйте все встановлене програмне забезпечення, включаючи веб-браузери, плагіни та інші програми, щоб підтримувати безпеку та функціональність.
  • Надійні та унікальні паролі: складність паролів: створюйте складні паролі, які поєднують літери, цифри та символи для підвищення безпеки. Керування паролями. Використовуйте авторитетного менеджера паролів для створення, зберігання та керування унікальними паролями для кожного облікового запису, тим самим зменшуючи ризик злому пароля.
  • Двофакторна автентифікація (2FA) : додаткова безпека: реалізуйте двофакторну автентифікацію для всіх облікових записів і служб, які її підтримують, додаючи ще один рівень безпеки крім традиційних паролів.
  • Програмне забезпечення для захисту від зловмисного програмного забезпечення: Захист у режимі реального часу: встановлюйте та обслуговуйте надійні програми захисту від зловмисного програмного забезпечення, які пропонують захист у режимі реального часу та проводять регулярне сканування для виявлення та нейтралізації загроз. Оновлення програм: Регулярно оновлюйте ці програми безпеки, щоб переконатися, що вони можуть ідентифікувати нові та нові загрози та ефективно боротися з ними.
  • Практики безпечного перегляду: уникайте підозрілих посилань: утримайтеся від доступу до посилань або завантаження вкладень із незнайомих чи підозрілих електронних листів, щоб запобігти зараженню зловмисним програмним забезпеченням. Перевірка веб-сайтів: переконайтеся, що ви переходите на безпечні та законні веб-сайти, перевіривши HTTPS в URL-адресі, перш ніж вводити будь-яку особисту інформацію.
  • Регулярне резервне копіювання: резервне копіювання даних: часто створюйте резервні копії критично важливих даних на незалежному пристрої зберігання даних або в хмарній службі, щоб мінімізувати потенційну втрату даних у разі атаки зловмисного програмного забезпечення.
  • Конфігурація брандмауера: Захист мережі: використовуйте брандмауер для регулювання як вхідного, так і вихідного мережевого трафіку, тим самим блокуючи неавторизований доступ і підвищуючи безпеку мережі.
  • Привілеї користувача: принцип найменших привілеїв: замість облікового запису адміністратора використовуйте обліковий запис звичайного користувача, щоб обмежити потенційний вплив зловмисного програмного забезпечення на роботу системи. Окремі облікові записи: зберігайте окремі облікові записи для звичайних дій і адміністративних завдань, щоб зменшити ризик несанкціонованого підвищення привілеїв.
  • Навчання та обізнаність: Попередження про фішинг: будьте в курсі поширених тактик фішингу та тактик соціальної інженерії, щоб зменшити можливість стати жертвою таких атак. Постійне навчання: постійно користуйтеся навчальними та освітніми ресурсами, щоб бути в курсі останніх загроз безпеці та найкращих практик.

Застосовуючи ці найкращі практики, користувачі можуть значно посилити свій захист від зараження зловмисним програмним забезпеченням та інших загроз безпеці, підвищуючи загальну безпеку та цілісність системи.

Шкідлива програма EDRKillShifter Відео

Порада. Увімкніть звук і дивіться відео в повноекранному режимі .

В тренді

Найбільше переглянуті

Шахрайство електронною поштою "Geek Squad".

Phishing, Spam
37,940
Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...

Спливаючі вікна «Якщо вам 18, торкніться дозволу».

Fake Warning Messages
29,598
Спливаючі вікна «Якщо вам 18, торкніться дозволу» — це тип спливаючої реклами, яка з’являється на екрані користувача під час перегляду веб-сторінок. Ці спливаючі вікна можуть насторожити користувачів, оскільки вони спонукають їх натиснути кнопку «Дозволити», щоб продовжити використання веб-сайту, на якому вони зараз перебувають. Ці спливаючі вікна пов’язані з такими небажаними програмами, як...
Завантаження...