Несколько групп вымогателей используют модифицированные драйверы на уровне ядра для отключения EDR продуктов.
Crypto24 применяет изменённый RealBlindingEDR, чтобы блокировать функции безопасности от 28 вендоров.
RansomHub и другие семьи вымогателей обновляют EDRKillShifter, загружая уязвимые подписанные драйверы (BYOVD) в ядро.
После отключения EDR злоумышленники расширяют доступ, передвигаются по сети, крадут данные и шифруют их.
Для защиты требуется иметь механизмы, сохраняющие контроль даже при отсутствии телеметрии от EDR.
Легитимные инструменты, такие как HRSword, также могут быть использованы для деактивации защиты от угроз.
Get notified when new stories are published for "Hacker News 🇷🇺 Русский"