Hakerzy Wykorzystują Legalne Narzędzia Bezpieczeństwa Podczas Swoich Ataków

Gangi ransomware’ów udoskonalili swoje metody unikania wykrycia za pomocą „morderców EDR”, narzędzi zaprojektowanych do wyłączania systemów zabezpieczeń na wczesnym etapie ich ataków.

The Register informuje, że badacze z Cisco Talos zaobserwowali, jak grupy ransomware skutecznie wyłączają ochronę bezpieczeństwa w prawie połowie badanych przypadków w 2024 roku. Dzięki tej metodzie hakerzy pozwalają innym hakerom pozostać niewidocznymi przez dłuższy czas, podczas gdy dokonują kradzieży danych i bardziej skutecznie rozprowadzają ransomware.

Według Kendall McKay, strategicznego lidera w Talos, napastnicy stosują wielokrotne zabójców EDR podczas każdej operacji, jak donosi The Register. Cyberprzestępcy korzystają z narzędzi takich jak EDRSilencer, EDRSandblast, EDRKillShifter i Terminator, aby dezaktywować systemy obronne.

The Register donosi, że niektóre programy ransomware, takie jak EDRKillShifter, wykorzystują podatności sterowników Windowsa do wyłączania aplikacji zabezpieczających.

The Register wyjaśnia, że malware po raz pierwszy pojawił się wraz z gangiem RansomHub w sierpniu 2024 roku i od tego czasu został wykorzystany przez inne grupy ransomware, w tym Medusa, BianLian i Play.

„Cel zazwyczaj jest ten sam: wyłączyć ochronę EDR, pozwolić przestępcom na dłuższe ukrywanie się w skompromitowanych sieciach, a następnie pomóc im w kradzieży wrażliwych danych i uruchomieniu oprogramowania ransomware zanim zostaną złapani i wyeliminowani” – powiedziała McKay, jak podaje The Register.

Ten atak komplikuje proces odzyskiwania dotkniętych systemów. W rezultacie, organizacje czasami muszą całkowicie wymazać i odbudować swoje sieci.

Rejestr informuje, że nie wszystkie zabójcy EDR to malware. Przeprowadzone przez Talos badania wykazały, że gangi ransomware często przeprowadzają ataki korzystając z legalnych narzędzi.

Jednym z przykładów jest HRSword, komercyjny produkt opracowany przez chińską firmę technologiczną Huorong Network Technology. Zaprojektowany do monitorowania aktywności systemu, hakerzy przystosowali go do wyłączania oprogramowania zabezpieczającego. „To legalne narzędzie komercyjne, ale teraz aktywiści zagrożeń wykorzystują je do swoich celów”, powiedział McKay, jak donosi The Register.

Napastnicy wykorzystują narzędzia zabezpieczające, które nie zostały prawidłowo skonfigurowane. Produkty związane z bezpieczeństwem działają bez dostosowania w wielu organizacjach, co stwarza ryzyko dla ich systemów – mówi The Register. Niektóre organizacje ustawiają swoje narzędzia do wykrywania i reagowania na zagrożenia w trybie „tylko do audytu”, co oznacza, że zagrożenia są wykrywane, ale nie blokowane.

„To było być może najbardziej niepokojące dla nas, ponieważ jest to takie nisko wiszące owoce i coś, co organizacje mogą łatwo zapobiec,” zauważyła McKay, jak donosi The Register.