«ОБСУПРЕЖДЕНИЕ» имитирует водителя по краудстике сокола. src = «https://imgproxy.divecdn.com/e3_arurozflwh_a62c7jl9tv3il6_sf0oo4m2rne0y4/g:ce/rs:fill:120 0: 675: 1/z3m6ly9kaxzlc2l0zs1zdg9yywdll2rpdmvpbwfnzs9hzxr0eultywdlcy0xmzk5otgwmdq2lmpwzw ==. Webp » alt = «Medusa Ransomware с использованием злонамеренного драйвера в качестве EDR Killer»/>
Just_super через Getty Images
Кампания Medusa Ransomware использует вредоносный драйвер для нарушения и даже удаления обнаружения конечных точек (EDR) в целевых организационных сетях.
.Согласно новым исследованиям из Elastic Security Labs, злоумышленник, получивший дублированный абсвордер, развернут вместе с пакером как услуга под названием HeartCrypt для доставки Medusa Ransomware. Elastic отметил, что водитель был впервые задокументирован в посте Connectwise в январе, включающей другую кампанию поддержки ИТ -поддержки с использованием команд Microsoft.
В атаках Medusa Ransomware Elastic обнаружил, что вредоносный водитель имитирует законного драйвера Falcon Crowdstrike и использует цифровые сертификаты от других компаний для маскарада в качестве законной программы.
«Все образцы подписаны с использованием вероятных украденных, отмененных сертификатов от китайских компаний», — написал в блоге Cyril Fransois, старший инженер Elastic Security Labs. «Эти сертификаты широко известны и совместно используются по различным образцам и кампаниям вредоносных программ, но не специфичны для этого драйвера».Несмотря на то, что такие сертификаты подписания кода все еще могут быть эффективными для вредоносных программ, таких как Abysworker. Поскольку у водителей есть доступ к ядру, операционные системы, такие как Windows, все равно позволяют драйверам с отозванными сертификатами загружаться, поскольку блокировка таких драйверов может негативно повлиять на производительность и привести к сбою системы.
В результате водители стали растущими популярными хакерскими инструментами в последние годы. Они обеспечивают доступ злоумышленников и могут обеспечить привилегированные действия, такие как прекращение процессов EDR и других продуктов безопасности. Актеры угроз могут разрабатывать свои собственные злонамеренные драйверы, такие как Abyssworker или участвовать в «Принесении своего собственного уязвимого драйвера» (BYOVD), в которых они используют недостаток в законном водителе и используют его для злонамеренной деятельности. Например, водитель может «ослеплять» продукты EDR, удалив уведомления о обратном обратном ответном порядке, зарегистрированные для конкретных API, написал Франсуа. В консультативном режиме также отмечалось использование банд вымогателей, используя атаки BYOD для нарушения или удаления EDR.
ConnectWise Post сообщил, что злонамеренный водитель, по -видимому, нацелен на продукты Sentinelone в предыдущей кампании. Тем не менее, Elastic отметил, что спасатель теперь нацелен на несколько разных поставщиков EDR.
