Ransomwaroví útočníci, konkrétně skupina RansomHub, nasadili nový malware, který cílí na deaktivaci bezpečnostního softwaru EDR. Tento nástroj, nazvaný EDRKillShifter, byl identifikován výzkumníky společnosti Sophos a je navržen tak, aby zneužíval zranitelné ovladače k získání potřebných oprávnění pro odpojení ochrany EDR. EDRKillShifter má složitou strukturu, která zatemňuje jeho funkčnost, a vyžaduje jedinečné heslo pro spuštění.
Sophos analyzoval dvě varianty konečného užitečného zatížení, které ukazují na možnost, že různí aktéři mohou vyvíjet jednotlivé komponenty tohoto nástroje. Pro zmírnění hrozby, kterou EDRKillShifter představuje, doporučuje Sophos organizacím implementovat ochranu proti neoprávněné manipulaci, udržovat silné oddělení uživatelských a administrátorských oprávnění a pravidelně aktualizovat systémy, aby se vyřešily známé zranitelnosti.
Sophos detekuje EDRKillShifter jako Troj/KillAV-KG a má zavedena pravidla pro blokování systémových volání, která jsou používána při těchto typech útoků. Článek také zdůrazňuje účinnost systémů EDR v boji proti ransomwarovým útokům a popisuje nedávná vylepšení technologií EDR, která posilují kybernetickou ochranu proti stále sofistikovanějším hrozbám.
Nový malware může zcela zničit váš antivirus
