Ce este un EDR-killer și de ce reprezintă o amenințare?

Un EDR-killer este un instrument malware conceput să dezactiveze soluțiile de detecție și răspuns la nivel de endpoint (EDR) și antivirus înainte ca atacatorii să lanseze un ransomware. Acesta permite ocolirea protecției de securitate, facilitând astfel accesul neautorizat și extinderea atacului.

Cum funcționează acest tip de malware pentru a evita detecția?

EDR-killer-ul utilizează tehnici avansate de ofuscare, împachetare a codului, și exploatarea unor drivere semnate – unele compromise – pentru a păcăli sistemele de securitate. De asemenea, poate modifica executabile legitime astfel încât să integreze cod malițios fără a genera suspiciuni.

Care sunt industriile cele mai expuse la acest tip de amenințare?

Organizațiile din infrastructura critică, sănătate, domeniul financiar și furnizorii de servicii IT (MSP) sunt vulnerabile, deoarece atacurile reușite pot aduce atacatorilor beneficii semnificative și pot cauza prejudicii majore.

Ce măsuri pot lua companiile pentru a se proteja?

Activarea funcțiilor anti-manipulare pe soluțiile de endpoint, limitarea privilegiilor pentru utilizatori, actualizarea constantă a sistemelor și monitorizarea modificărilor asupra fișierelor executabile sunt câteva dintre modalitățile practice prin care companiile își pot fortifica apărarea.

O nouă amenințare împotriva protecției endpoint: EDR-killer-ul de ultimă generație

3 Minute

Prezentare generală: o amenințare emergentă la adresa protecției endpoint

Experții în securitate cibernetică au descoperit un instrument nou care, în mod eficient, neutralizează sistemele de detecție și răspuns la nivel de endpoint (EDR) precum și programele antivirus, chiar înainte ca un atac ransomware să fie inițiat. Potrivit unui raport recent publicat de Sophos, mai multe grupuri specializate în ransomware apelează la acest EDR-killer avansat pentru a dezactiva protecția oferită de furnizori importanți precum Sophos, Bitdefender și Kaspersky. Apariția acestui tip de malware relevă o evoluție îngrijorătoare a amenințărilor concepute special pentru a ocoli soluțiile antivirus și a obține acces privilegiat.

Modul de operare al EDR-killer-ului

Ambalare și ofuscare

Acest software malițios este adesea ascuns cu ajutorul unor servicii specializate de ofuscare, precum HeartCrypt, pentru a scăpa de detecția bazată pe semnătură și de analiza automată. Atacatorii folosesc diverse tehnici de evitare a analizelor, inclusiv abuzarea unor drivere semnate – unele fiind furate sau compromise – pentru a obține execuție cu încredere pe sistemele Windows.

Exploatarea resurselor locale și modificarea executabilelor

Cercetătorii au remarcat o schimbare de la metodele care presupuneau adăugarea de drivere vulnerabile la tehnici ce implică modificarea directă a executabilelor legitime. Într-unul dintre cazuri, atacatorii au injectat cod malițios în utilitarul Clipboard Compare din Beyond Compare, rezultând într-un fisier binar care păstrează aparența de fișier legitim, dar conține componente dăunătoare. Acest procedeu permite crearea unor instalatori sau unelte ce par autentice și scapă ușor de investigații de suprafață.

Caracteristici, comparații și beneficii ale noului instrument

Impact asupra mai multor soluții: Spre deosebire de versiunile anterioare, cum ar fi EDRKillShifter, acest nou EDR-killer vizează simultan mai multe platforme EDR și antivirus de top, mărindu-și astfel eficiența pentru grupuri ransomware diverse.
Discreție sporită: Ambalarea, ascunderea codului și utilizarea componentelor semnate îi oferă un avantaj operațional față de metodele tradiționale.
Refolosire: Instrumentul este distribuit în comunitățile subterane, ceea ce accelerează adoptarea și îmbunătățirea lui între actorii amenințărilor.

Comparativ cu EDRKillShifter, apărut la jumătatea anului 2024, această variantă revizuită nu mai depinde exclusiv de drivere vulnerabile, ci modifică direct executabile de încredere, îngreunând astfel identificarea și atribuirea de către specialiștii în securitate.

Utilizări și relevanță pe piață

EDR-killer-ul este folosit în special în fazele incipiente ale unui atac ransomware: acces inițial, escaladarea privilegiilor și dezactivarea protecției. Organizațiile ce operează infrastructuri critice, din domeniul sănătății, financiar sau MSP-urilor sunt deosebit de expuse, întrucât atacatorii pot obține câștiguri considerabile. Pentru furnizorii de soluții de securitate sau echipele de răspuns la incidente, avansul EDR-killer-urilor scoate în evidență nevoia de informații avansate despre amenințări, protecție la rulare și sisteme de detecție bazate pe comportament.

Reducerea riscului: soluții practice pentru echipele IT

Activează protecția anti-manipulare: Asigură-te că soluțiile de protecție endpoint includ funcții de auto-apărare pentru a bloca modificările locale neautorizate.
Aplică principiul privilegiului minim și gestionează strict rolurile Windows: O igienă bună a conturilor și limitarea drepturilor administrative reduc riscul de escaladare.
Actualizează periodic sistemele și driverele: Microsoft a inițiat procesul de revocare a certificatelor pentru driverele vechi. Actualizarea și eliminarea driverelor legacy limitează utilizarea abuzivă a componentelor semnate.
Monitorizează modificările neobișnuite asupra executabilelor și anomaliile semnăturilor de cod: Soluțiile EDR comportamentale, instrumentele de verificare a integrității driverelor și fișierelor ajută la identificarea tentativelor de alterare.

Concluzie

Apariția unui EDR-killer mai sofisticat evidențiază colaborarea tot mai strânsă dintre grupările ransomware și transformarea instrumentelor legitime în arme cibernetice. Este esențial ca organizațiile să întărească configurațiile endpoint, să aplice politici stricte de privilegii și să investească în sisteme de detecție axate pe comportamente pentru a contracara amenințările avansate ce pot ocoli soluțiile antivirus tradiționale.

Sursa: techradar

Comentarii

Lasă un Comentariu

O nouă amenințare împotriva protecției endpoint: EDR-killer-ul de ultimă generație

Prezentare generală: o amenințare emergentă la adresa protecției endpoint

Modul de operare al EDR-killer-ului

Ambalare și ofuscare

Exploatarea resurselor locale și modificarea executabilelor

Caracteristici, comparații și beneficii ale noului instrument

Utilizări și relevanță pe piață

Reducerea riscului: soluții practice pentru echipele IT

Concluzie

Comentarii

Postări Relate

iPhone 17: Noi Dezvăluiri Sugerează O Curea Crossbody Magnetică

Scurgere majoră: Galaxy S25 FE dezvăluit din toate unghiurile

Samsung Vietnam atinge pragul de 2 miliarde de smartphone-uri produse

Noile modele Samsung Galaxy S26 promit un profil mai subțire și funcții de top

Huawei Cloud accelerează expansiunea infrastructurii AI la Expoziția Internațională de Big Data din China

Samsung accelerează rivalitatea cu un nou spot publicitar Galaxy AI plin de umor

WhatsApp lansează Writing Help: Sugestii AI pentru redactare în chat

Huawei depășește Apple la livrările globale de smartwatch-uri

Seria Xiaomi 16 trece de certificarea 3C: Lansare iminentă cu specificații de top

HyperOS 3: Actualizarea majoră care transformă ecosistemul Xiaomi