Хакеры из RansomHub применяют новое вредоносное ПО для уничтожения ИБ-продуктов

Хакеры из RansomHub применяют новое вредоносное ПО для уничтожения ИБ-продуктов

источник: dall-e

Операторы программ-вымогателей RansomHub начали использовать новое вредоносное ПО для отключения программного обеспечения безопасности Endpoint Detection and Response (EDR) при атаках с использованием собственного уязвимого драйвера (BYOVD). Эксперты компании Sophos, обнаружившие это вредоносное ПО в ходе расследования в мае 2024 года, назвали его EDRKillShifter.

Аналитики уточняют, что вредоносное ПО, распространяемое хакерами RansomHub, устанавливает на целевых устройствах легитимный уязвимый драйвер для повышения привилегий, отключения решений безопасности и получения контроля над системой.

«Во время инцидента в мае 2024 года злоумышленники попытались использовать EDRKillShifter для отключения защиты Sophos на целевом компьютере, но инструмент не сработал. Мы с умеренной уверенностью полагаем, что этот инструмент используется несколькими злоумышленниками. Затем они попытались запустить исполняемый файл программы-вымогателя на контролируемой ими машине, но это также не удалось, когда сработала функция CryptoGuard агента конечной точки», — сообщил эксперт по кибербезопасности Sophos Андреас Клопш.

В ходе расследования компания Sophos обнаружила два разных образца, оба с эксплойтами, подтверждающими концепцию, доступными на GitHub. Один из них эксплуатирует уязвимый драйвер, известный как RentDrv2, а другой — драйвер ThreatFireMonitor, компонент устаревшего пакета мониторинга системы.

Компания Sophos также установила, что EDRKillShifter может доставлять различные полезные нагрузки драйверов в зависимости от потребностей злоумышленников. Языковые свойства вредоносной программы указывают на то, что она была скомпилирована на компьютере с русской локализацией.

Выполнение загрузчика включает три шага. Во-первых, злоумышленник запускает двоичный файл EDRKillShifter с паролем для расшифровки и выполнения встроенного ресурса с именем BIN в памяти. Затем этот код распаковывает и выполняет финальную полезную нагрузку, которая сбрасывает и эксплуатирует уязвимый, легитимный драйвер для повышения привилегий и отключения активных процессов и служб EDR.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: