Almeno dodici gruppi di ransomware usano driver kernel-level per disabilitare le protezioni EDR prima di cifrare i dati.
Il ransomware Crypto24 impiega una versione personalizzata di RealBlindingEDR per neutralizzare i driver di 28 diversi fornitori di sicurezza.
Almeno otto altri gruppi come Blacksuit, Medusa e RansomHub sfruttano varianti aggiornate di EDRKillShifter per uccidere l’EDR.
Gli attacchi BYOVD (Bring Your Own Vulnerable Driver) caricano driver con certificati compromessi per ottenere accesso kernel e inibire le funzioni EDR.
Oltre ai malware custom, i criminali abusano anche di strumenti legittimi come HRSword per disabilitare le protezioni endpoint.
Disabilitando l’EDR su un endpoint, i ransomware possono muoversi lateralmente nelle reti cloud e sfruttare comunicazioni non monitorate.
Get notified when new stories are published for "Hacker News 🇮🇹 Italiano"