Um grupo de cibercrime com ligações ao ransomware RansomHub tem sido observado usando uma nova ferramenta projetada para terminar o software de endpoint detection and response (EDR) em hosts comprometidos, juntando-se a outros programas similares como AuKill (também conhecido como AvNeutralizer) e Terminator.
A utilidade para "matar" o EDR foi apelidada de EDRKillShifter pela empresa de cibersegurança Sophos, que descobriu a ferramenta em conexão com um ataque de ransomware mal-sucedido em maio de 2024.
"A ferramenta EDRKillShifter é um executável 'loader' – um mecanismo de entrega para um driver legítimo que é vulnerável ao abuso (também conhecido como ferramenta 'bring your own vulnerable driver', ou BYOVD)," disse o pesquisador de segurança Andreas Klopsch.
Dependendo dos requisitos do ator de ameaça, ele pode entregar uma variedade de diferentes payloads de driver.
O RansomHub, um suspeito rebrand do ransomware Knight, surgiu em fevereiro de 2024, aproveitando falhas de segurança conhecidas para obter acesso inicial e soltar software legítimo de desktop remoto como Atera e Splashtop para acesso persistente.
No mês passado, a Microsoft revelou que o notório sindicato de e-crime conhecido como Scattered Spider incorporou cepas de ransomware como RansomHub e Qilin em seu arsenal.
Executado via linha de comando junto com uma entrada de string de senha, o executável descriptografa um recurso embutido chamado BIN e o executa na memória.
O recurso BIN descompacta e executa um payload final baseado em Go, ofuscado, que então aproveita diferentes drivers legítimos vulneráveis para ganhar privilégios elevados e desarmar o software EDR.
"A propriedade de idioma do binário é russa, indicando que o autor do malware compilou o executável em um computador com configurações de localização russa," disse Klopsch.
Todos os EDR killers descompactados embutem um driver vulnerável na seção .data.
Para mitigar a ameaça, é recomendado manter os sistemas atualizados, habilitar a proteção contra adulteração no software EDR e praticar uma higiene forte para as funções de segurança do Windows.
"Este ataque só é possível se o atacante escalar privilégios que controlam, ou se eles conseguirem obter direitos de administrador," disse Klopsch.
A separação entre privilégios de usuário e admin pode ajudar a prevenir que atacantes carreguem drivers facilmente.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...