Dalış Kılavuzu
- Çarşamba günü yayınlanan bir ESET raporuna göre, fidye yazılımı aktörleri, savunmasız sürücüleri “EDR katilleri” olarak bilinen araçlar hazırlamak için giderek daha fazla kötüye kullanıyor.
- Tehdit aktörleri savunmasız sürücüleri kötüye kullanırlar çünkü işletim sistemlerine çekirdek erişimi vardır, bu da saldırganların kötü niyetli etkinlikleri tespit etmeden önce EDR gibi güvenlik ürünleri için süreçleri öldürmelerini sağlar.
- ESET araştırmacıları, kötü şöhretli Ransomhub fidye yazılım çetesi tarafından geliştirilen ve korunan ve şimdi Dark Web’de mevcut olan “Edrkillshifter” adlı özel bir aracı analiz ettiler. Araştırmacılar, Play, Medusa ve Bianlian gibi hizmet olarak diğer fidye yazılımları arasında Edrkillshifter kullanımında bir artış gözlemlediler.
Dalış içgörü:
EDR katilleri, hizmet olarak fidye yazılımı iştirakleri, özellikle Edrkillshifter için giderek daha popüler ve etkili araçlar haline gelmiştir. ESET Malware araştırmacıları Jakub Souček ve Jan Holman raporda, “Ancak, dışarıdaki tek EDR katili değil; aslında, ESET araştırmacıları fidye yazılımı bağlı kuruluşları tarafından kullanılan EDR katillerinin çeşitliliğinde bir artış gözlemlediler.”
EDR platformları fidye yazılımı yüklerindeki şifrelemeleri etkili bir şekilde tanımlayabildiğinden ve durdurabildiğinden, bağlı kuruluşlar hem güvenlik satıcıları hem de kurumsal güvenlik ekipleri için zorluklar yaratan algılamayı atlamak için bu araçlara güvenmektedir. Souček ve Holman, ESET’in EDR Killers tarafından istismar edilen savunmasız sürücüleri, yüklemelerini engelleyebilecek potansiyel olarak güvensiz programlar olarak bayrak ettiğini ve kuruluşların davayı takip etmelerini önerdiğini söyledi.
Araştırmacılar, bir veritabanında Living of the Land of the Land sürücüleri projesi tarafından 1.700’den fazla savunmasız sürücü olduğunu belirtti. Bununla birlikte, Souček ve Holman, bu sürücülerden sadece bir avuç EDR katilleri için kullanıldığını ve istismar edilen sayının nispeten sabit olduğunu söyledi.
Ancak savunmasız sürücüleri tanımlamak ve durdurmak hala bir zorluktur. ESET’in raporuna göre, EDR Killers erken algılamayı önlemek için sıklıkla gizlenmiş kodu kullanıyor. Ayrıca, araştırmacılar Ransomhub’ın Edrkillshifter’ın 64 karakterlik bir şifre ile korunan kabuk koduna sahip olduğunu belirtti.
Raporda, “Şifre olmadan, güvenlik araştırmacıları ne hedeflenen süreç adları listesini ne de istismar edilmiş savunmasız sürücü alamazlar.”
Edrkillshifter’ın etkinliğinin bir sonucu olarak, rakip fidye yazılımı çeteleri ile artan sayıda bağlı kuruluş, geçen yıl karanlık web’de bir hizmet olarak sunulduğu için aracı saldırılarda konuşlandırdı. Aslında, ESET araştırmacıları, piyasaya sürüldükten sonra etkinlikte “dik bir artış” gördüklerini söyledi.