مجموعة RansomHub تنشر أداة جديدة لقتل EDR في أحدث الهجمات السيبرانية

15 أغسطس 2024رافي لاكشمانانبرامج الفدية / الجرائم الإلكترونية

تمت ملاحظة مجموعة جرائم إلكترونية لها روابط لبرنامج الفدية RansomHub باستخدام أداة جديدة مصممة لإنهاء برنامج الكشف عن نقطة النهاية والاستجابة لها (EDR) على الأجهزة المضيفة المخترقة، والانضمام إلى أمثال البرامج المماثلة الأخرى مثل AuKill (المعروف أيضًا باسم AvNeutralizer) وTerminator.

أُطلق على الأداة المساعدة لقتل EDR اسم EDRKillShifter من قبل شركة الأمن السيبراني Sophos، التي اكتشفت الأداة فيما يتعلق بهجوم فدية فاشل في مايو 2024.

“إن أداة EDRKillShifter عبارة عن أداة تحميل قابلة للتنفيذ – وهي آلية تسليم للسائق الشرعي المعرض لإساءة الاستخدام (المعروف أيضًا باسم “إحضار برنامج التشغيل الضعيف الخاص بك”، أو بي أو في دي، أداة)،” الباحث الأمني ​​أندرياس كلوبش قال. “اعتمادًا على متطلبات جهة التهديد، يمكنها تقديم مجموعة متنوعة من حمولات السائق المختلفة.”

ظهرت RansomHub، وهي علامة تجارية مشتبه بها لبرنامج طلب الفدية Knight، في فبراير 2024، مستفيدة من العيوب الأمنية المعروفة للحصول على الوصول الأولي وإسقاط برامج سطح المكتب البعيد الشرعية مثل Atera وSplashtop للوصول المستمر.

في الشهر الماضي، كشفت مايكروسوفت أن نقابة الجرائم الإلكترونية سيئة السمعة المعروفة باسم Scattered Spider قامت بدمج سلالات من برامج الفدية مثل RansomHub وQilin في ترسانتها.

يتم تنفيذه عبر سطر الأوامر مع إدخال سلسلة كلمة المرور، ويقوم الملف القابل للتنفيذ بفك تشفير مورد مضمن يسمى BIN وتنفيذه في الذاكرة. يقوم مورد BIN بتفكيك وتشغيل الحمولة النهائية المبهمة المستندة إلى Go، والتي تستفيد بعد ذلك من برامج التشغيل المشروعة والضعيفة المختلفة للحصول على امتيازات مرتفعة وتعطيل برنامج EDR.

وقال كلوبش: “خاصية اللغة الخاصة بالبرنامج الثنائي هي روسية، مما يشير إلى أن مؤلف البرنامج الضار قام بتجميع الملف القابل للتنفيذ على جهاز كمبيوتر مزود بإعدادات الترجمة الروسية”. “تقوم جميع برامج قتل EDR التي تم فك حزمتها بتضمين برنامج تشغيل ضعيف في قسم البيانات.”

للتخفيف من حدة التهديد، يوصى بإبقاء الأنظمة محدثة، وتمكين الحماية من العبث في برنامج EDR، وممارسة النظافة القوية لأدوار أمان Windows.

وقال كلوبش: “هذا الهجوم ممكن فقط إذا قام المهاجم بتصعيد الامتيازات التي يتحكم فيها، أو إذا كان بإمكانه الحصول على حقوق المسؤول”. “يمكن أن يساعد الفصل بين امتيازات المستخدم والمسؤول في منع المهاجمين من تحميل برامج التشغيل بسهولة.”