Драйверы-предатели. Как легитимные программы помогают преступникам шифровать ваши данные
NewsMakerСистемные файлы начали играть по чужим правилам.
Специалисты ESET проанализировали быстро растущий сегмент инструментов, которые злоумышленники используют перед запуском шифровальщиков. Речь идёт о так называемых EDR-killer — утилитах, позволяющих временно «ослепить» защитные системы и обеспечить успешное шифрование данных.
Такие инструменты стали почти обязательным этапом атак с вымогательским ПО. Сначала злоумышленники получают повышенные привилегии в системе, затем отключают защиту и только после этого запускают шифровальщик . Подход оказался удобнее, чем попытки скрыть сам вредоносный код. Шифровальщики остаются простыми, а вся логика обхода защиты выносится в отдельный инструмент.
Анализ ESET охватывает почти 90 активных EDR-killer, применяемых разными группами. Большинство используют уязвимые драйверы , однако встречаются и более простые варианты — скрипты, а также злоупотребление легитимными анти-руткит утилитами вроде GMER или PC Hunter. Отдельно выделяется новая категория — инструменты без драйверов, которые блокируют связь с системами мониторинга или «замораживают» процессы защиты.
Исследование показывает, что выбор таких инструментов чаще зависит не от операторов вымогательского ПО, а от их партнёров. Чем шире сеть партнёров, тем разнообразнее используемый арсенал. В результате один и тот же драйвер может встречаться в разных атаках, не связанных между собой, а один инструмент — менять драйверы без серьёзных изменений кода. Это делает привязку атак к конкретным группам по драйверам ненадёжной.
Специалисты ESET проанализировали быстро растущий сегмент инструментов, которые злоумышленники используют перед запуском шифровальщиков. Речь идёт о так называемых EDR-killer — утилитах, позволяющих временно «ослепить» защитные системы и обеспечить успешное шифрование данных.
Такие инструменты стали почти обязательным этапом атак с вымогательским ПО. Сначала злоумышленники получают повышенные привилегии в системе, затем отключают защиту и только после этого запускают шифровальщик . Подход оказался удобнее, чем попытки скрыть сам вредоносный код. Шифровальщики остаются простыми, а вся логика обхода защиты выносится в отдельный инструмент.
Анализ ESET охватывает почти 90 активных EDR-killer, применяемых разными группами. Большинство используют уязвимые драйверы , однако встречаются и более простые варианты — скрипты, а также злоупотребление легитимными анти-руткит утилитами вроде GMER или PC Hunter. Отдельно выделяется новая категория — инструменты без драйверов, которые блокируют связь с системами мониторинга или «замораживают» процессы защиты.
Исследование показывает, что выбор таких инструментов чаще зависит не от операторов вымогательского ПО, а от их партнёров. Чем шире сеть партнёров, тем разнообразнее используемый арсенал. В результате один и тот же драйвер может встречаться в разных атаках, не связанных между собой, а один инструмент — менять драйверы без серьёзных изменений кода. Это делает привязку атак к конкретным группам по драйверам ненадёжной.