Skupina ransomwaru RansomHub nasadila nový malware nazvaný EDRKillShifter, který je určen k deaktivaci bezpečnostního softwaru Endpoint Detection and Response (EDR) v rámci útoků Bring Your Own Vulnerable Driver (BYOVD). Tento malware byl objeven výzkumníky společnosti Sophos během vyšetřování v květnu 2024. EDRKillShifter využívá legitimní, zranitelný ovladač k eskalaci oprávnění, což mu umožňuje deaktivovat bezpečnostní řešení a převzít kontrolu nad cílovým systémem.
Technika zneužívání zranitelných ovladačů k obcházení bezpečnostních opatření je široce využívána různými aktéry hrozeb, včetně finančně motivovaných ransomwarových gangů a státem podporovaných hackerských skupin. Například gang BlackByte a hackerská skupina Lazarus byly pozorovány při používání podobných metod k deaktivaci bezpečnostních produktů.
Nasazení EDRKillShifter ukazuje na pokračující vývoj a sofistikovanost ransomwarových útoků. Jak se bezpečnostní řešení stávají pokročilejšími, kyberzločinci neustále hledají nové způsoby, jak obejít obranu a získat přístup k cíleným systémům. Bezpečnostní výzkumníci a organizace musí zůstat ostražití a informovaní o nejnovějších trendech a taktikách hrozeb, aby se účinně chránili před těmito typy útoků. Nová varianta ransomwaru představuje vážnou hrozbu pro digitální obranu a vyžaduje okamžitá protiopatření.
Malware objevili výzkumníci společnosti Sophos