Исследователи из Sophos сообщили о новом инструменте киберпреступников, который способен отключать защиту даже ведущих антивирусных решений, включая Kaspersky, Sophos и Bitdefender.
Новинка уже активно используется несколькими группировками-вымогателями для отключения систем EDR (Endpoint Detection and Response) перед запуском шифровальщика.
Инструмент стал эволюцией ранее известного EDRKillShifter, созданного группой RansomHub, но теперь он более эффективен и универсален. Для маскировки применяются методы обфускации, антианализ, а иногда — даже подписанные драйверы (украденные или скомпрометированные).
В одном случае вредоносный код был внедрен в легитимную утилиту Clipboard Compare от Beyond Compare.
Чаще всего модификация выполняется уже после получения доступа к системе жертвы, либо через поддельные инсталляторы, выдаваемые за официальные.
Sophos рекомендует включать защиту от несанкционированных изменений (tamper protection), контролировать права администрирования и своевременно обновлять системы, т.к Microsoft начала отзывать подписи у устаревших драйверов.