Το RansomHub ransomware, γνωστό για το σχήμα συνεργατών του και για τη χρήση μεθόδων απενεργοποίησης του EDR, για την αποφυγή ανακάλυψης και την παραμονή του σε συσκευές ή δίκτυα που έχουν παραβιαστεί, χρησιμοποιεί τώρα το EDRKillShifter.
Δείτε επίσης: Η ομάδα RansomHub διέρρευσε δεδομένα της Kawasaki Motors
Οι ειδικοί ανακάλυψαν ότι το Ransomhub ενσωμάτωσε το EDRKillShifter στην αλυσίδα επίθεσής του, μια νέα μέθοδο αποφυγής ανίχνευσης.
Ο σκοπός του EDRKillShifter είναι να εκμεταλλευτεί τα ευάλωτα προγράμματα οδήγησης και να υπονομεύσει την αποτελεσματικότητα των λύσεων EDR χρησιμοποιώντας μεθόδους για την αποφυγή ανίχνευσης και την παρέμβαση στις διαδικασίες παρακολούθησης ασφαλείας.
Τα καλύτερα τηλέφωνα Motorola για το 2024
Νέα στοιχεία: Η Αφροδίτη μάλλον δεν είχε ποτέ ωκεανούς
Υπάλληλος Καταγγέλλει την Apple για Παρακολούθηση
Η Trend Micro αναγνώρισε αυτήν την ομάδα ως Water Bakunawa, η οποία είναι υπεύθυνη για το ransomware RansomHub και χρησιμοποιεί διάφορες τακτικές anti EDR για να παίξει ένα παιχνίδι κρυφτού με τις λύσεις ασφαλείας.
Το RansomHub έχει συνδεθεί με επιθέσεις ransomware σε βιομηχανίες και υποδομή ζωτικής σημασίας όπως το νερό και τα λύματα, η πληροφορική, οι εμπορικές και κρατικές υπηρεσίες και εγκαταστάσεις, η υγειονομική περίθαλψη, η γεωργία, οι χρηματοοικονομικές υπηρεσίες, η κατασκευή, οι μεταφορές και οι επικοινωνίες.
Δείτε ακόμα: RansomHub: Χρησιμοποιεί το TDSSKiller της Kaspersky για απενεργοποίηση EDR λύσεων
Οι ειδικοί λένε ότι το EDRKillShifter του RansomHub, διακόπτει δυναμικά τις διαδικασίες ασφαλείας σε πραγματικό χρόνο και προχωρά σε σχέση με τις τυπικές λύσεις EDR τροποποιώντας τις τεχνικές του καθώς βελτιώνονται οι δυνατότητες ανίχνευσης.
Οι δυνατότητες απενεργοποίησης EDR του EDRKillShifter ενσωματώνονται άψογα στην αλυσίδα επίθεσης, διασφαλίζοντας ότι όλες οι φάσεις μιας επίθεσης τις χρησιμοποιούν και ενισχύοντας τη συνολική αποτελεσματικότητα.
Αυτές οι εξελίξεις μετατρέπουν το EDRKillShifter σε ένα ισχυρό όπλο του RansomHub, ενάντια στα παραδοσιακά συστήματα ασφαλείας τελικού σημείου, απαιτώντας από τις επιχειρήσεις να εφαρμόζουν πιο ανθεκτικά και ευέλικτα μέτρα ασφαλείας.
Το RansomHub ransomware εκμεταλλεύεται επίσης την ευπάθεια Zerologon (CVE-2020-1472). Οι ερευνητές είπαν ότι εάν αφεθεί χωρίς επιδιόρθωση, μπορεί να επιτρέψει στους εισβολείς να καταλάβουν ένα ολόκληρο δίκτυο χωρίς να απαιτείται έλεγχος ταυτότητας.
Δείτε επίσης: NoName ransomware: “Συνεργασία” με την ομάδα RansomHub;
Οι επιθέσεις ransomware αποτελούν μία από τις πιο επικίνδυνες απειλές κυβερνοασφάλειας στην σύγχρονη εποχή. Αυτές οι επιθέσεις συμβαίνουν όταν κακόβουλο λογισμικό διεισδύει σε ένα σύστημα, κρυπτογραφεί τα δεδομένα και στη συνέχεια απαιτεί συγκεκριμένη πληρωμή για την αποκατάσταση της πρόσβασης. Ο σκοπός αυτών των επιθέσεων είναι οικονομικός, και συχνά στοχεύουν οργανισμούς και επιχειρήσεις λόγω του πιθανώς μεγαλύτερου ποσού λύτρων που μπορούν να πληρώσουν. Η αντιμετώπιση των επιθέσεων ransomware απαιτεί ισχυρά μέτρα ασφάλειας, όπως τακτικά αντίγραφα ασφαλείας των δεδομένων, ενημερωμένα συστήματα και την εκπαίδευση των συνεργατών για την αποφυγή ύποπτων ηλεκτρονικών μηνυμάτων και εφαρμογών.
Πηγή: cybersecuritynews