Nová fronta v boji s ransomware: EDR-killer obchází ochranu koncových zařízení

Přehled: Nová hrozba pro ochranu koncových bodů

Odborníci na kybernetickou bezpečnost objevili nový nástroj z podsvětí, který účinně neutralizuje software pro detekci a reakci na koncových bodech (EDR) i antivirové programy ještě předtím, než je nasazen ransomware. Analýza společnosti Sophos uvádí, že několik ransomwarových skupin už tento zdokonalený "EDR-killer" využívá k vypnutí ochrany od předních výrobců, jako jsou Sophos, Bitdefender a Kaspersky. Tento trend znamená znepokojivý vývoj v oblasti škodlivých programů, které jsou přímo vyvíjeny pro obcházení antiviru a eskalaci oprávnění.

Princip fungování EDR-killeru

Balení a maskování

Škodlivý kód je často šifrován skrze služby jako HeartCrypt, aby se vyhnul detekci založené na signaturách i automatizované analýze. Útočníci dále využívají různé anti-analytické postupy a dokonce zneužívají podepsané ovladače – některé jsou odcizené či kompromitované – k zajištění důvěryhodného spuštění na Windows systémech.

Zneužití systémových nástrojů a modifikace spustitelných souborů

Výzkumníci zaznamenali posun od nasazování zranitelných ovladačů k přímé úpravě legitimních aplikací. V jednom z případů vložili útočníci svůj škodlivý kód do nástroje Beyond Compare’s Clipboard Compare, čímž vytvořili binární soubor, který vypadá důvěryhodně, ale je škodlivý. Touto cestou pak vytvářejí instalátory a nástroje, které běžnou kontrolou projdou bez povšimnutí.

Vlastnosti, srovnání a silné stránky nového nástroje

• Dopad na více dodavatelů: Na rozdíl od starších variant jako EDRKillShifter, nový nástroj útočí na různé špičkové platformy EDR a antivirů, což jeho využití mezi ransomwarovými skupinami znatelně rozšiřuje.
• Vylepšená nenápadnost: Použití balení kódu, maskování a podepsaných součástí mu dává výhodu oproti předchozím metodám.
• Opakované využití: Tento nástroj je sdílený v podzemních komunitách, což urychluje jeho adopci i vývoj mezi hrozbami.

Na rozdíl od původního EDRKillShifteru, který se objevil v polovině roku 2024 a spoléhal na zranitelné ovladače, nová verze modifikuje důvěryhodné spustitelné soubory, což obráncům ztěžuje detekci i určení původu útoku.

Praktické využití a aktuálnost hrozby

Tento nástroj útočníci využívají hlavně ve fázích před nasazením ransomwaru: při počátečním průniku, eskalaci oprávnění a vypínání bezpečnosti. Ohrožené jsou především organizace ve strategických odvětvích, zdravotnictví, finančnictví či firmy poskytující IT služby, protože představují vysoký potenciál zisku pro útočníky. Pro výrobce bezpečnostních řešení a specializované incident response týmy znamená vzestup těchto "EDR-killerů" zvýšenou potřebu pokročilé threat intelligence, ochrany běhového prostředí a detekce podle chování.

Jak se bránit: praktické kroky pro bezpečnostní týmy

• Zapněte ochranu proti manipulaci: Ujistěte se, že vaše ochrana koncových bodů má aktivovanou samoobranu či ochranu proti zásahům, což zabrání lokálním úpravám.
• Držte se zásady minimálních oprávnění: Pečlivé řízení účtů a omezení administrátorských práv sníží riziko zvýšení oprávnění útočníkem.
• Pravidelně aktualizujte systémy a ovladače: Microsoft začal rušit certifikace starých podpisovaných ovladačů; aktualizace a odstranění těchto starých součástí minimalizuje jejich zneužití.
• Sledujte změny v exe souborech a v podepisování kódu: Chování EDR, hlídání integrity ovladačů a souborový monitoring pomáhají včas odhalit podezřelé úpravy.

Hlavní závěr

Objev nových schopností EDR-killeru svědčí o rostoucí spolupráci mezi ransomwarovými skupinami i o zneužívání legitimních nástrojů k útokům. Organizace by měly posilovat konfiguraci koncových bodů, důsledně řídit oprávnění a investovat do detekce na základě chování, aby udržely náskok před hrozbami, které obcházejí antivirovou ochranu.