Pourquoi vous devez vous méfier de la menace du malware EDRKillShifter

ransomware

Le paysage de la cybersécurité a récemment été témoin de l’émergence d’un nouvel outil malveillant sophistiqué connu sous le nom d’EDRKillShifter. Lié au célèbre groupe de ransomware RansomHub, cet outil est conçu pour neutraliser les logiciels Endpoint Detection and Response (EDR) sur les systèmes compromis. En éliminant ces défenses de sécurité critiques, EDRKillShifter ouvre la voie aux acteurs de la menace pour intensifier leurs attaques, ce qui peut entraîner des conséquences dévastatrices.

EDRKillShifter s'inscrit dans une tendance plus large chez les cybercriminels qui déploient de plus en plus d'utilitaires similaires, tels qu'AuKill (également connu sous le nom d'AvNeutralizer) et Terminator, pour désactiver les solutions EDR. Ces outils sont particulièrement dangereux car ils exploitent des pilotes légitimes (des composants logiciels essentiels au fonctionnement du matériel d'un système) qui sont vulnérables aux abus. Cette méthode, connue sous le nom de « Bring Your Own Vulnerable Driver » (BYOVD), permet aux attaquants de diffuser des charges utiles malveillantes sans éveiller immédiatement les soupçons.

Les mécanismes d'EDRKillShifter

L'outil EDRKillShifter fonctionne comme un exécutable « chargeur », un type de programme qui délivre un pilote légitime mais vulnérable sur le système cible. Cette méthode de livraison permet au logiciel malveillant de contourner les mécanismes de sécurité en exploitant la légitimité du pilote. Une fois exécuté, l'outil décrypte une ressource intégrée appelée BIN, qui contient une charge utile finale écrite dans le langage de programmation Go. Cette charge utile est obscurcie, ce qui la rend difficile à détecter et à analyser. Une fois activé, il exploite divers pilotes vulnérables pour obtenir des privilèges élevés et désactiver le logiciel EDR, désarmant ainsi efficacement les défenses principales du système.

Une analyse plus poussée a révélé que le binaire associé à EDRKillShifter a été compilé sur un système avec des paramètres de localisation russes, ce qui suggère une origine potentielle du malware. Les pilotes intégrés, essentiels au fonctionnement du malware, sont cachés dans la section .data de l'exécutable, ajoutant un niveau de complexité supplémentaire à sa détection.

Le contexte plus large de la cybercriminalité

RansomHub, le groupe de cybercriminels à l'origine d'EDRKillShifter, serait une refonte du groupe de ransomware Knight, apparu en février 2024. Ce groupe a pour habitude d'exploiter des vulnérabilités de sécurité connues pour obtenir un accès initial aux systèmes. Une fois à l'intérieur, ils déploient souvent des outils de bureau à distance légitimes comme Atera et Splashtop pour maintenir un accès permanent, ce qui rend leurs activités plus difficiles à détecter.

Les récentes découvertes de Microsoft viennent s'ajouter à la complexité du paysage des menaces, en reliant le tristement célèbre syndicat de cybercriminalité Scattered Spider à l'utilisation de RansomHub et d'autres souches de ransomware comme Qilin. Ce lien souligne l'évolution des tactiques des cybercriminels qui affinent continuellement leurs méthodes pour contourner les mesures de sécurité.

Atténuer la menace EDRKillShifter

Pour se protéger contre des menaces comme EDRKillShifter, il est essentiel d'adopter une approche de sécurité multicouche :

  1. Mises à jour régulières : veillez à ce que tous les systèmes et logiciels soient mis à jour avec les derniers correctifs. Cela permet de combler les vulnérabilités connues que les logiciels malveillants peuvent exploiter.
  2. Activer la protection anti-falsification : activez les fonctionnalités de protection anti-falsification dans le logiciel EDR pour empêcher les modifications non autorisées ou la désactivation des outils de sécurité.
  3. Appliquez des pratiques de sécurité Windows strictes : implémentez une séparation stricte entre les privilèges utilisateur et administrateur. Cela limite la capacité des attaquants à élever leurs privilèges et à exécuter des pilotes malveillants.
  4. Maintenez une surveillance de sécurité vigilante : surveillez en permanence l'activité du réseau pour détecter tout comportement inhabituel, en particulier toute tentative de chargement ou d'exécution de pilotes, ce qui pourrait signaler une attaque en cours.

L'essor de SbaProxy : une nouvelle couche de furtivité

En plus d'EDRKillShifter, des acteurs malveillants ont été observés en train de déployer un nouveau malware furtif appelé SbaProxy. Ce malware est particulièrement insidieux car il modifie les binaires antivirus légitimes d'entreprises réputées telles que BitDefender, Malwarebytes et Sophos. Ces binaires sont ensuite re-signés avec des certificats contrefaits, ce qui permet au malware d'établir des connexions proxy via un serveur de commande et de contrôle (C2).

La fonction principale de SbaProxy est de créer des services proxy qui acheminent le trafic via le serveur C2 et la machine infectée, facilitant ainsi les activités malveillantes. Le malware ne prend en charge que les connexions TCP, mais sa conception sophistiquée et son apparence légitime le rendent difficile à détecter.

L’émergence d’EDRKillShifter et de SbaProxy met en évidence la sophistication croissante des cybermenaces auxquelles les organisations sont confrontées aujourd’hui. Ces outils font partie d’un arsenal croissant utilisé par les cybercriminels pour contourner les mesures de sécurité traditionnelles et mener leurs activités malveillantes sans être détectés. En restant informées de ces menaces et en mettant en œuvre des pratiques de sécurité robustes, les organisations peuvent mieux protéger leurs systèmes contre ces dangers en constante évolution.

Par Zane
August 16, 2024
Malware
Français
August 16, 2024
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.