Operátoři ransomwaru RansomHub nasadili nový malware nazvaný EDRKillShifter, který je určen k deaktivaci bezpečnostního softwaru Endpoint Detection and Response (EDR). Tento malware využívá techniku Bring Your Own Vulnerable Driver (BYOVD) k eskalaci oprávnění a převzetí kontroly nad cílenými systémy. EDRKillShifter nasazuje zranitelný ovladač na cílové zařízení, což mu umožňuje obcházet bezpečnostní opatření.
Jazykové vlastnosti malwaru naznačují, že byl zkompilován na počítači s ruskou lokalizací, což může poskytnout důležité informace o jeho původu. Bezpečnostní výzkumníci doporučují několik opatření k mitigaci této hrozby, včetně povolení ochrany proti neoprávněným zásahům, udržování oddělení mezi uživatelskými a administrátorskými oprávněními a pravidelnou aktualizaci systémů. Dále je důležité sledovat, že Microsoft ruší certifikaci podepsaných ovladačů, které byly zneužity v předchozích útocích.
Tento vývoj představuje vážnou hrozbu pro tradiční bezpečnostní opatření, což zdůrazňuje potřebu pokročilých řešení, která by byla schopna reagovat na vyvíjející se taktiky ransomwaru. Podobné malware, jako AuKill a Backstab, byly také použity k deaktivaci bezpečnostního softwaru, což ukazuje na trend v metodách ransomwarových gangů.
Malware představuje vážnou hrozbu pro ochranu systémů
