Um novo assassino de Endpoint Detection and Response (EDR) que é considerado a evolução do 'EDRKillShifter', desenvolvido pelo RansomHub, foi observado em ataques por oito diferentes gangues de ransomware.
Tais ferramentas auxiliam os operadores de ransomware a desativar produtos de segurança em sistemas comprometidos para que possam implementar payloads, escalar privilégios, tentar movimentação lateral e, finalmente, criptografar dispositivos na rede sem ser detectados.
De acordo com pesquisadores de segurança da Sophos, a nova ferramenta, que não foi nomeada especificamente, é usada pelo RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.
A nova ferramenta de assassinato de EDR utiliza um binário fortemente ofuscado que é decodificado em tempo de execução e injetado em aplicações legítimas.
A ferramenta procura por um driver digitalmente assinado (certificado roubado ou expirado) com um nome aleatório de cinco caracteres, o qual é codificado no executável.
Se encontrado, o driver malicioso é carregado no kernel, conforme necessário para realizar um ataque do tipo 'bring your own vulnerable driver' (BYOVD) e alcançar privilégios de kernel necessários para desativar produtos de segurança.
O driver se disfarça como um arquivo legítimo, como o driver do CrowdStrike Falcon Sensor, mas, uma vez ativo, ele mata processos relacionados a AV/EDR e interrompe serviços associados a ferramentas de segurança.
Os fornecedores visados incluem Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot.
Embora as variantes da nova ferramenta assassina de EDR diferem nos nomes dos drivers, AVs visados e características de construção, todos utilizam HeartCrypt para empacotamento, e as evidências sugerem conhecimento e compartilhamento de ferramentas entre grupos de ameaças até mesmo concorrentes.
A Sophos especificamente observa que é improvável que a ferramenta tenha vazado e, em seguida, reutilizado por outros atores de ameaças, mas é sim desenvolvida através de um framework compartilhado e colaborativo.
"Para ser claro, não é que um único binário do assassino de EDR vazou e foi compartilhado entre os atores de ameaças.
Em vez disso, cada ataque usou uma construção diferente da ferramenta proprietária", explicou a Sophos.
Essa tática de compartilhamento de ferramentas, especialmente no que diz respeito a assassinos de EDR, é comum no espaço de ransomware.
Além do EDRKillShifter, a Sophos também descobriu outra ferramenta chamada AuKill, que o Medusa Locker e o LockBit usaram em ataques.
A SentinelOne também relatou no ano passado sobre hackers do FIN7 vendendo sua ferramenta personalizada "AvNeutralizer" para várias gangues de ransomware, incluindo BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit.
Os indicadores completos de comprometimento associados a essa nova ferramenta assassina de EDR estão disponíveis neste repositório do GitHub.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...