استفاده از ابزار جدید EDR-Killing در حملات سایبری گروه RansomHub

security news

یک گروه جرایم سایبری با پیوندهایی به باج‌افزار RansomHub مشاهده شده که با استفاده از ابزار جدیدی که برای غیرفعال‌سازی نرم‌افزار EDR در میزبان‌های در معرض خطر طراحی شده است و با برنامه‌های دیگری مانند AuKill (معروف به AvNeutralizer) و Terminator عملکرد مشابهی دارد.

ابزار EDR-Killing که توسط شرکت امنیت سایبری Sophos تحت عنوان EDRKillShifter نام‌گذاری شده، یک «لودر» اجرایی است. مکانیزم تحویل برای یک درایور قانونی که در معرض سوء استفاده است (همچنین تحت عنوان «Bring Your Own Vulnerable Driver» یا ابزار BYOVD نیز شناخته می‌شود) که بسته به نیاز عامل تهدید، می‌تواند پیلودهای مختلف درایور را تحویل دهد.

در واقع این بدافزار با استقرار یک درایور قانونی و آسیب‌پذیر بر روی دستگاه‌های هدف، سطوح دسترسی را ارتقا داده، راه‌کارهای امنیتی را غیرفعال می‌کند و کنترل سیستم را در دست می‌گیرد.

https://www.bleepingcomputer.com/news/security/ransomware-gang-deploys-new-malware-to-kill-security-software

https://thehackernews.com/2024/08/ransomhub-group-deploys-new-edr-killing.html