Yeni EDR öldürücü aracı
Sophos’un raporuna göre, fidye yazılım grupları tarafından kullanılan yeni EDR öldürücü aracı, güvenlik çözümlerini devre dışı bırakarak saldırganların ağlarda fark edilmeden hareket etmesine olanak sağlıyor. Araç, RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx ve INC grupları tarafından kullanıldı.

BYOVD yöntemiyle kernel ayrıcalıkları
Araç, zararlı bir sürücüyü (çoğu zaman çalıntı ya da süresi dolmuş dijital sertifikayla imzalanmış) yükleyerek “Bring Your Own Vulnerable Driver” (BYOVD) saldırısı gerçekleştiriyor. Böylece çekirdek seviyesinde ayrıcalık kazanarak güvenlik yazılımlarını kapatıyor.

Hedef alınan güvenlik çözümleri
Saldırının hedefinde Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro ve Webroot gibi çok sayıda EDR ve antivirüs ürünü yer alıyor.

Paylaşılan bir geliştirme altyapısı
Sophos, aracın tek bir sızıntı sonucu yayılmadığını, farklı fidye yazılım gruplarının aynı çerçeve üzerinden kendi sürümlerini oluşturduğunu belirtiyor. Tüm varyantlarda HeartCrypt paketleyicisinin kullanıldığı ve bilgi/araç paylaşımının yoğun olduğu ifade edildi.

Benzer araçlar daha önce de kullanıldı
EDRKillShifter dışında, AuKill ve AvNeutralizer gibi araçlar da farklı gruplar tarafından güvenlik yazılımlarını etkisiz hale getirmek için kullanılmıştı. Bu yöntem, fidye yazılım ekosisteminde giderek yaygınlaşıyor.

Kaynak: CUMHA – CUMHUR HABER AJANSI