Perché dovresti stare attento alla minaccia del malware EDRKillShifter

ransomware

Il panorama della sicurezza informatica ha recentemente assistito all'emergere di un nuovo, sofisticato strumento malware noto come EDRKillShifter. Collegato al famigerato gruppo ransomware RansomHub, questo strumento è progettato per neutralizzare il software Endpoint Detection and Response (EDR) sui sistemi compromessi. Eliminando queste difese di sicurezza critiche, EDRKillShifter apre la strada agli attori delle minacce per intensificare i loro attacchi, portando potenzialmente a risultati devastanti.

EDRKillShifter fa parte di una tendenza più ampia tra i criminali informatici che stanno sempre più implementando utilità simili, come AuKill (noto anche come AvNeutralizer) e Terminator, per disabilitare le soluzioni EDR. Questi strumenti sono particolarmente pericolosi perché sfruttano driver legittimi, componenti software integrali al funzionamento dell'hardware su un sistema, che sono vulnerabili ad abusi. Questo metodo, noto come "bring your own vulnerability driver" (BYOVD), consente agli aggressori di distribuire payload dannosi senza destare sospetti immediati.

La meccanica di EDRKillShifter

Lo strumento EDRKillShifter funziona come un eseguibile "loader", un tipo di programma che fornisce un driver legittimo ma vulnerabile al sistema di destinazione. Questo metodo di distribuzione consente al malware di aggirare i meccanismi di sicurezza sfruttando la legittimità del driver. Una volta eseguito, lo strumento decifra una risorsa incorporata chiamata BIN, che contiene un payload finale scritto nel linguaggio di programmazione Go. Questo payload è offuscato, rendendolo difficile da rilevare e analizzare. Dopo l'attivazione, sfrutta vari driver vulnerabili per ottenere privilegi elevati e disabilitare il software EDR, disarmando di fatto le difese primarie del sistema.

Ulteriori analisi hanno rivelato che il binario associato a EDRKillShifter è stato compilato su un sistema con impostazioni di localizzazione russe, suggerendo una potenziale origine del malware. I driver incorporati, cruciali per il funzionamento del malware, sono nascosti nella sezione .data dell'eseguibile, aggiungendo un ulteriore livello di complessità al suo rilevamento.

Il contesto più ampio della criminalità informatica

Si ritiene che RansomHub, il gruppo di criminalità informatica dietro EDRKillShifter, sia un rebranding del gruppo ransomware Knight, emerso nel febbraio 2024. Questo gruppo ha una storia di sfruttamento di vulnerabilità di sicurezza note per ottenere l'accesso iniziale ai sistemi. Una volta all'interno, spesso distribuiscono strumenti legittimi per desktop remoto come Atera e Splashtop per mantenere un accesso persistente, rendendo le loro attività più difficili da rilevare.

Aggiungendo complessità al panorama delle minacce, le recenti scoperte di Microsoft hanno collegato il famigerato sindacato di criminalità informatica Scattered Spider all'uso di RansomHub e di altri ceppi di ransomware come Qilin. Questa connessione sottolinea le tattiche in evoluzione dei criminali informatici che stanno continuamente perfezionando i loro metodi per aggirare le misure di sicurezza.

Mitigazione della minaccia EDRKillShifter

Per proteggersi da minacce come EDRKillShifter, è fondamentale adottare un approccio di sicurezza multilivello:

  1. Aggiornamenti regolari: assicurati che tutti i sistemi e i software siano aggiornati con le ultime patch. Ciò aiuta a chiudere le vulnerabilità note che il malware può sfruttare.
  2. Abilita protezione antimanomissione: attiva le funzionalità di protezione antimanomissione nel software EDR per impedire modifiche non autorizzate o la disattivazione degli strumenti di sicurezza.
  3. Applica solide pratiche di sicurezza di Windows: implementa una rigorosa separazione tra privilegi utente e amministratore. Ciò limita la capacità degli aggressori di aumentare i privilegi ed eseguire driver dannosi.
  4. Mantenere un attento monitoraggio della sicurezza: monitorare costantemente l'attività di rete per individuare comportamenti insoliti, in particolare eventuali tentativi di caricare o eseguire driver, che potrebbero segnalare un attacco in corso.

L'ascesa di SbaProxy: un nuovo livello di furtività

Oltre a EDRKillShifter, sono stati osservati autori di minacce che distribuivano un nuovo malware stealth chiamato SbaProxy. Questo malware è particolarmente insidioso in quanto modifica i binari antivirus legittimi di aziende affidabili come BitDefender, Malwarebytes e Sophos. Questi binari vengono quindi ri-firmati con certificati contraffatti, consentendo al malware di stabilire connessioni proxy tramite un server di comando e controllo (C2).

La funzione principale di SbaProxy è quella di creare servizi proxy che instradano il traffico attraverso il server C2 e la macchina infetta, facilitando le attività dannose. Il malware supporta solo connessioni TCP, ma il suo design sofisticato e l'aspetto legittimo lo rendono difficile da rilevare.

L'emergere di EDRKillShifter e SbaProxy evidenzia la crescente sofisticatezza delle minacce informatiche che le organizzazioni devono affrontare oggi. Questi strumenti fanno parte di un arsenale crescente utilizzato dai criminali informatici per aggirare le misure di sicurezza tradizionali e svolgere le loro attività dannose senza essere rilevati. Restando informati su queste minacce e implementando solide pratiche di sicurezza, le organizzazioni possono proteggere meglio i loro sistemi da questi pericoli in evoluzione.

Entro il Zane
August 16, 2024
Malware
Italiano
August 16, 2024
Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.