Um grupo de cibercrime com ligações ao ransomware RansomHub tem sido observado usando uma nova ferramenta projetada para terminar o software de endpoint detection and response (EDR) em hosts comprometidos, juntando-se a outros programas similares como AuKill (também conhecido como AvNeutralizer) e Terminator.
A utilidade para "matar" o EDR foi apelidada de EDRKillShifter pela empresa de cibersegurança Sophos, que descobriu a ferramenta em conexão com um ataque de ransomware mal-sucedido em maio de 2024.
"A ferramenta EDRKillShifter é um executável 'loader' – um mecanismo de entrega para um driver legítimo que é vulnerável ao abuso (também conhecido como ferramenta 'bring your own vulnerable driver', ou BYOVD)," disse o pesquisador de segurança Andreas Klopsch.
Dependendo dos requisitos do ator de ameaça, ele pode entregar uma variedade de diferentes payloads de driver.
O RansomHub, um suspeito rebrand do ransomware Knight, surgiu em fevereiro de 2024, aproveitando falhas de segurança conhecidas para obter acesso inicial e soltar software legítimo de desktop remoto como Atera e Splashtop para acesso persistente.
No mês passado, a Microsoft revelou que o notório sindicato de e-crime conhecido como Scattered Spider incorporou cepas de ransomware como RansomHub e Qilin em seu arsenal.
Executado via linha de comando junto com uma entrada de string de senha, o executável descriptografa um recurso embutido chamado BIN e o executa na memória.
O recurso BIN descompacta e executa um payload final baseado em Go, ofuscado, que então aproveita diferentes drivers legítimos vulneráveis para ganhar privilégios elevados e desarmar o software EDR.
"A propriedade de idioma do binário é russa, indicando que o autor do malware compilou o executável em um computador com configurações de localização russa," disse Klopsch.
Todos os EDR killers descompactados embutem um driver vulnerável na seção .data.
Para mitigar a ameaça, é recomendado manter os sistemas atualizados, habilitar a proteção contra adulteração no software EDR e praticar uma higiene forte para as funções de segurança do Windows.
"Este ataque só é possível se o atacante escalar privilégios que controlam, ou se eles conseguirem obter direitos de administrador," disse Klopsch.
A separação entre privilégios de usuário e admin pode ajudar a prevenir que atacantes carreguem drivers facilmente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...