Gli analisti di Sophos si sono recentemente imbattuti in una nuova utility EDR-killer distribuita da un gruppo criminale che stava cercando di attaccare un’organizzazione con un ransomware chiamato RansomHub. Sebbene l’attacco ransomware alla fine non sia riuscito, l’analisi post mortem ha rivelato l’esistenza di un nuovo strumento progettato per terminare il software di protezione degli endpoint. Abbiamo chiamato questo strumento EDRKillShifter.
Dal 2022, abbiamo assistito a un aumento della complessità del malware progettato per disabilitare i sistemi EDR su un sistema infetto, poiché i clienti adottano sempre più strumenti EDR per proteggere gli endpoint. Sophos ha pubblicato in precedenza una ricerca su AuKill, uno strumento EDR killer che Sophos X-Ops ha scoperto l’anno scorso e che veniva venduto su mercati illegali.
Durante l’incidente di maggio, gli aggressori – riteniamo con moderata sicurezza che questo strumento sia stato usato da più aggressori – hanno tentato di servirsi di EDRKillShifter per terminare la protezione Sophos sul computer preso di mira, ma il tentativo non è andato a buon fine. Hanno poi provato a lanciare l’eseguibile del ransomware sul computer che controllavano, ma anche questo è fallito quando è stata attivata la funzione CryptoGuard dell’agente endpoint.
Come funziona EDRKillShifter
Lo strumento EDRKillShifter è un eseguibile “loader”, un meccanismo di consegna di un driver legittimo vulnerabile agli abusi (noto anche come strumento “bring your own vulnerable driver” o BYOVD). A seconda dei requisiti dell’aggressore, può fornire una varietà di payload di driver diversi.
Continua a leggere l’articolo.