Negli attacchi multi-fase di oggi, neutralizzare le soluzioni di sicurezza endpoint è un passaggio critico del processo, che consente ai cyber criminali di operare senza essere individuati. Dal 2022 abbiamo osservato un aumento della sofisticazione dei malware progettati per disabilitare i sistemi EDR su un computer infetto.
Alcuni di questi strumenti sono sviluppati da gruppi ransomware. Altri vengono acquistati nei marketplace underground – prove di ciò sono state trovate nei log di chat trapelati del gruppo Black Basta. In molti casi vengono utilizzati servizi di packer-as-a-service come HeartCrypt per offuscare gli strumenti.
EDRKillShifter è stato creato dal gruppo RansomHub e successivamente reso obsoleto da un nuovo strumento, che verrà descritto in questo articolo. Inoltre, analizzeremo le evidenze di condivisione di tool e trasferimento di conoscenze tecniche tra gruppi ransomware che utilizzano diverse build dello strumento in questione.
AVKiller
Ci concentreremo innanzitutto su un payload specifico, un AV killer tool, individuato tra le migliaia di payload nei campioni offuscati con HeartCrypt. In più casi, il rilevamento di questo strumento è avvenuto durante un attacco ransomware in corso. Altri ricercatori hanno osservato prove dell’esistenza di questo tool, in particolare Cylerian. Esistono possibili indizi di una versione iniziale, descritta in un post di Palo Alto Networks del gennaio 2024.
Continua a leggere l’articolo.
