详细内容或原文请订阅后点击阅览
勒索软件机组人员将“ EDR杀手”添加到他们的武器库中 - 有些甚至不是恶意软件
访谈犯罪者在攻击的早期,Talos SaidAntivirus和端点安全工具的早期禁用了安全工具,因为勒索软件人员越来越多地部署“ EDR杀手”,以在攻击早期禁用防御措施 - 在其处理情况下,大多数2024个案件中观察到的战术是Cisco Talos。
来源:The Register _恶意软件随着勒索软件工作人员越来越多地部署“ EDR杀手”以在袭击的早期禁用防御措施时,采访防病毒和端点安全工具的情况下降了 - 在其处理的2024案件中,大多数情况下观察到的策略是Cisco Talos。
面试“当勒索软件演员试图做到这一点时,他们在48%的时间里取得了成功,” Talos的战略负责人肯德尔·麦凯(Kendall McKay)告诉《登记册》。
寄存器”,我们不仅经常看到这一点,而且我们看到勒索软件演员在运营中很早就尝试这样做。我们看到了这类恶意软件,EDR Killers,这确实在不断发展。”麦凯说,Infoccers看到攻击者“在同一操作中使用了几种不同类型的工具”。
勒索软件人员越来越多地使用Edrsilencer,Edrsandblast,Edrkillshifter和terminator等程序来修改或完全禁用端点检测和响应(EDR)产品。
恶意软件有不同的方法来实现这一目标。例如,Edrkillshifter于2024年8月首次看到RansomHub首次看到,在Windows机器上利用了合法但脆弱的驱动程序来终止EDR产品。
首先见到最近,ESET研究人员发现了这位自定义EDR杀手,由Medusa,Bianlian和Play等竞争对手团伙重新使用。
发现我们正在看到这种恶意软件,EDR杀手,这确实在不断发展。而且我们看到...同一操作中的几种不同类型的工具
无论使用哪种恶意软件,目标通常都是相同的:杀死EDR保护措施,允许犯罪分子在折衷的网络中保持更长的时间,然后帮助他们窃取敏感的数据并在被抓住之前部署勒索软件。
另外,这使得对受损组织的系统恢复更加困难。麦凯说:“尤其是在勒索软件空间中,系统恢复是补救过程的重要组成部分。”