Хакеры используют легитимные средства безопасности во время своих атак

Группы по созданию вымогательского ПО усовершенствовали свои способы избегания обнаружения с помощью «убийц EDR» — инструментов, предназначенных для отключения систем безопасности на ранних стадиях их атак.

The Register сообщает, что исследователи из Cisco Talos заметили, как группы, распространяющие вымогательское ПО, успешно отключают защитные меры в почти половине рассмотренных случаев в 2024 году. С помощью этого метода хакеры позволяют другим хакерам оставаться незамеченными на более длительное время, пока они осуществляют кражу данных и эффективнее распространяют вымогательское ПО.

Согласно Кендалл МакКей, стратегическому руководителю в Talos, злоумышленники применяют несколько уничтожителей EDR на протяжении каждой операции, как сообщает The Register. Киберпреступники используют

EDRSilencer и EDRSandblast и EDRKillShifter и Terminator для деактивации защитных систем.

The Register сообщает, что некоторые программы-вымогатели, такие как EDRKillShifter, используют уязвимости драйверов Windows для отключения защитных приложений.

The Register объясняет, что впервые данное вредоносное ПО появилось с группой RansomHub в августе 2024 года и с тех пор использовалось другими группами, занимающимися вымогательством, включая Medusa, BianLian и Play.

«Цель обычно одна и та же: отключить защиту EDR, позволить преступникам оставаться незамеченными в скомпрометированных сетях как можно дольше, а затем помочь им украсть конфиденциальные данные и запустить вирус-вымогатель, прежде чем их обнаружат и выгонят,» — сказала МакКей, как сообщает The Register.

Эта атака усложняет восстановление затронутых систем. В результате, организациям иногда приходится полностью очищать и восстанавливать свои сети.

The Register заявляет, что не все убийцы EDR являются вредоносными программами. Исследования, проведенные Talos, показали, что группы, занимающиеся вымогательством, часто осуществляют атаки, используя законные инструменты.

Примером может служить HRSword, коммерческий продукт, разработанный китайской компанией Huorong Network Technology. Он был разработан для мониторинга системной активности, но хакеры использовали его для отключения программного обеспечения безопасности. «Это законный коммерческий инструмент, но теперь угрожающие актёры используют его для своих целей», — сказал Маккей, как сообщает The Register.

Атакующие используют инструменты безопасности, которые не были должным образом настроены. Продукты безопасности работают без настройки во многих организациях, что создает угрозы безопасности для их систем, говорит The Register. Некоторые организации настраивают свои инструменты для обнаружения и ответа на конечные точки в режим «только аудит», что означает, что угрозы обнаруживаются, но не блокируются.

«Это, возможно, наиболее тревожно для нас, потому что это такой низко висящий плод и то, что организации могут легко предотвратить», — указала МакКей, как сообщает The Register.