یک گروه جرایم سایبری با پیوندهایی به باجافزار RansomHub مشاهده شده که با استفاده از ابزار جدیدی که برای غیرفعالسازی نرمافزار EDR در میزبانهای در معرض خطر طراحی شده است و با برنامههای دیگری مانند AuKill (معروف به AvNeutralizer) و Terminator عملکرد مشابهی دارد.
ابزار EDR-Killing که توسط شرکت امنیت سایبری Sophos تحت عنوان EDRKillShifter نامگذاری شده، یک «لودر» اجرایی است. مکانیزم تحویل برای یک درایور قانونی که در معرض سوء استفاده است (همچنین تحت عنوان «Bring Your Own Vulnerable Driver» یا ابزار BYOVD نیز شناخته میشود) که بسته به نیاز عامل تهدید، میتواند پیلودهای مختلف درایور را تحویل دهد.
در واقع این بدافزار با استقرار یک درایور قانونی و آسیبپذیر بر روی دستگاههای هدف، سطوح دسترسی را ارتقا داده، راهکارهای امنیتی را غیرفعال میکند و کنترل سیستم را در دست میگیرد.
https://www.bleepingcomputer.com/news/security/ransomware-gang-deploys-new-malware-to-kill-security-software
https://thehackernews.com/2024/08/ransomhub-group-deploys-new-edr-killing.html
