- Edrkillshifter está recebendo uma atualização perigosa
- O novo malware pode desativar AV e EDR de fornecedores respeitáveis
- Sophos, Bitdefender e Kaspersky entre as ferramentas que estão sendo direcionadas
Os cibercriminosos parecem ter melhorado suas capacidades de matança de antivírus, pois pesquisas recentes sugerem uma nova ferramenta compartilhada na comunidade subterrânea.
Em um novo relatório, pesquisadores de segurança da Sophos disseram que vários grupos de ransomware estão desativando com sucesso os sistemas de detecção e resposta para pontos de extremidade (EDR) antes de implantar o criptografado.
Originalmente, o grupo conhecido como Ransomhub desenvolveu uma ferramenta chamada EdrkillShifter, que Sophos diz que agora está obsoleta graças a essa nova e aprimorada variante. A nova ferramenta pode desativar o software de segurança de vários fornecedores de ponta, como Sophos, Bitdefender e Kaspersky.
Estratégias de mudança
Sophos descobriu que os atacantes estão usando todos os tipos de técnicas de ofuscação e anti-análise para proteger suas ferramentas dos defensores de segurança e, em alguns casos, eles estão usando motoristas assinados (roubados ou comprometidos).
Em um caso, o código malicioso foi incorporado dentro de uma utilidade legítima, além da ferramenta de comparação da área de transferência da Compare, explicou os pesquisadores.
Sophos também disse que vários grupos de ransomware estão usando essa nova ferramenta de matar EDR, sugerindo um alto nível de colaboração entre os jogadores.
O EdrkillShifter foi visto pela primeira vez em meados de 2024, após uma tentativa fracassada de desativar um antivírus e implantar ransomware.
Sophos então descobriu que o malware caiu um motorista legítimo, mas vulnerável.
Agora, parece que existe um novo método – pegando um executável já legítimo e modificando -o localmente, inserindo recursos maliciosos de código e carga útil (como foi o caso da ferramenta Beyond Compare da Compare). Isso geralmente é feito depois que o invasor tem acesso à máquina de uma vítima ou ao criar um pacote malicioso que finge ser legítimo.
Para se defender contra essa ameaça, a Sophos sugere que os usuários verifiquem se seus produtos de segurança de proteção de endpoint implementam e ativam a proteção contra adulteração.
Além disso, as empresas devem praticar “higiene forte” para as funções de segurança do Windows, uma vez que o ataque só é possível se o invasor aumentar os privilégios que controlam ou se puderem obter direitos de administrador.
Finalmente, as empresas devem manter seus sistemas atualizados, pois a Microsoft começou recentemente a retificar os antigos motoristas assinados.
Fique conectado