Multi-License Discount Quote
Données concernant les menaces Malware Logiciel malveillant EDRKillShifter

Logiciel malveillant EDRKillShifter

Par Mezo en Malware
Se traduisent par :
Français

Un groupe de cybercriminels associé au ransomware RansomHub a été repéré en train de déployer un nouvel outil visant à désactiver les logiciels de détection et de réponse aux points de terminaison (EDR) sur les systèmes compromis. Les experts en cybersécurité ont baptisé cet utilitaire de désactivation EDR « EDRKillShifter ». L'outil a été découvert à la suite d'une tentative de ransomware ratée en mai 2024. EDRKillShifter rejoint désormais d'autres programmes similaires, tels que AuKill (également connu sous le nom d'AvNeutralizer) et Terminator.

EDRKillShifter fonctionne comme un exécutable « chargeur », servant de mécanisme de distribution pour un pilote légitime mais vulnérable. Ce type d'outil est généralement connu sous le nom de « apportez votre propre pilote vulnérable » (BYOVD). En fonction des objectifs de l'acteur de la menace, il peut déployer différentes charges utiles de pilote.

Nouveau visage d’un ancien groupe de cybercriminalité

Le ransomware RansomHub , qui serait une version rebaptisée du ransomware Knight , est apparu en février 2024. Il exploite des vulnérabilités de sécurité connues pour obtenir un accès initial, en déployant des outils de bureau à distance légitimes comme Atera et Splashtop pour maintenir un accès persistant. Le mois dernier, Microsoft a révélé que le tristement célèbre groupe de cybercriminalité Scattered Spider avait ajouté des souches de ransomware comme RansomHub et Qilin à sa boîte à outils.

Chaîne d’attaque et fonctionnement d’EDRKillShifter

Exécuté via la ligne de commande avec une chaîne de mot de passe en entrée, l'exécutable décrypte une ressource intégrée nommée BIN et l'exécute directement en mémoire. Cette ressource BIN décompresse et exécute une charge utile finale obscurcie basée sur Go, qui exploite divers pilotes vulnérables et légitimes pour obtenir des privilèges élevés et désactiver le logiciel EDR.

La propriété de langue du binaire est définie sur russe, ce qui suggère que le malware a été compilé sur un système avec des paramètres de localisation russes. Tous les outils de désactivation EDR décompressés intègrent un pilote vulnérable dans la section .data.

Il est recommandé de maintenir les systèmes à jour, d'activer la protection contre les falsifications dans le logiciel EDR et de maintenir des pratiques de sécurité strictes pour les rôles Windows afin d'atténuer cette menace. Cette attaque n'est réalisable que si l'attaquant peut augmenter ses privilèges ou obtenir des droits d'administrateur. Assurer une séparation claire entre les privilèges utilisateur et administrateur peut considérablement aider à empêcher les attaquants de charger facilement des pilotes corrompus.

Comment renforcer la sécurité de vos appareils contre les infections par des logiciels malveillants ?

Pour renforcer la sécurité des appareils et se protéger contre les infections par des logiciels malveillants, les utilisateurs sont encouragés à adopter les meilleures pratiques complètes suivantes :

  • Mises à jour logicielles régulières : Système d'exploitation : Assurez-vous que votre système d'exploitation est régulièrement mis à niveau avec les derniers correctifs et mises à jour de sécurité pour traiter et corriger les vulnérabilités connues. Applications : Mettez régulièrement à jour tous les logiciels installés, y compris les navigateurs Web, les plug-ins et autres applications, pour maintenir la sécurité et la fonctionnalité.
  • Mots de passe forts et uniques : Complexité des mots de passe : Créez des mots de passe complexes qui combinent des lettres, des chiffres et des symboles pour améliorer la sécurité. Gestion des mots de passe : Utilisez un gestionnaire de mots de passe réputé pour générer, stocker et gérer des mots de passe uniques pour chaque compte, réduisant ainsi le risque de violations liées aux mots de passe.
  • Authentification à deux facteurs (2FA) : sécurité supplémentaire : implémentez l'authentification à deux facteurs sur tous les comptes et services qui la prennent en charge, ajoutant une couche de sécurité supplémentaire au-delà des mots de passe traditionnels.
  • Logiciel anti-programme malveillant : protection en temps réel : installez et maintenez des programmes anti-programme malveillant fiables qui offrent une protection en temps réel et effectuez des analyses régulières pour détecter et neutraliser les menaces. Mises à jour du programme : mettez régulièrement à jour ces programmes de sécurité pour vous assurer qu'ils peuvent identifier et combattre efficacement les menaces nouvelles et émergentes.
  • Pratiques de navigation sécurisées : évitez les liens suspects : évitez d'accéder à des liens ou de télécharger des pièces jointes provenant d'e-mails inconnus ou suspects afin d'éviter les infections par des logiciels malveillants. Vérifiez les sites Web : assurez-vous que vous naviguez vers des sites Web sécurisés et légitimes en vérifiant la présence de HTTPS dans l'URL avant de saisir des informations privées.
  • Sauvegardes régulières : Sauvegarde des données : Sauvegardez fréquemment les données critiques sur un périphérique de stockage indépendant ou un service cloud pour minimiser la perte potentielle de données en cas d'attaque de logiciel malveillant.
  • Configuration du pare-feu : protection du réseau : utilisez un pare-feu pour réguler le trafic réseau entrant et sortant, bloquant ainsi les accès non autorisés et améliorant la sécurité du réseau.
  • Privilèges utilisateur : principe du moindre privilège : au lieu d'un compte administrateur, utilisez un compte utilisateur standard pour limiter l'impact potentiel des programmes malveillants sur les opérations du système. Comptes distincts : maintenez des comptes distincts pour les activités de routine et les tâches administratives afin d'atténuer le risque d'escalade de privilèges non autorisée.
  • Éducation et sensibilisation : Sensibilisation au phishing : Tenez-vous informé des tactiques courantes de phishing et d'ingénierie sociale pour réduire le risque d'être victime de telles attaques. Formation continue : Participez en permanence à des formations et à des ressources pédagogiques pour rester à jour sur les dernières menaces de sécurité et les meilleures pratiques.

En adoptant ces meilleures pratiques, les utilisateurs peuvent renforcer considérablement leurs défenses contre les infections par des logiciels malveillants et d’autres menaces de sécurité, améliorant ainsi la sécurité et l’intégrité globales du système.

Logiciel malveillant EDRKillShifter Vidéo

Astuce: Activez votre son et regarder la vidéo en mode plein écran.

Tendance

Le plus regardé

Chargement...