Mange ransomware-grupper bruger nu kerne-niveau værktøjer til at deaktivere EDR produkter.
Crypto24 benytter en tilpasset version af open source-værktøjet RealBlindingEDR til at slå 28 forskellige sikkerhedsleverandørers EDR ned.
Værktøjet sammenligner drivermetadata med en hardkodet liste og deaktiverer EDR callbacks, når der er et match.
Otte andre ransomware-familier, herunder Blacksuit, RansomHub og Medusa, bruger opdaterede EDR-dræbere som EDRKillShifter.
RansomHub udnytter sårbare, underskrevne drivere via en BYOVD-angreb for at opnå kerneadgang og deaktivere EDR.
Når EDR er deaktiveret, kan angriberne bevæge sig frit i netværket, køre ransomware og stjæle data uden at blive opdaget.
Nogle angribere bruger også legitime værktøjer som HRSword til at slå endpoint-beskyttelse ned uden at vække mistanke.
Get notified when new stories are published for "Hacker News 🇩🇰 Dansk"