Um novo utilitário de neutralização de EDRs batizado de EDRKillShifter está sendo implantado em ataques do grupo que opera o ransomware RansomHub, segundo relatório da Sophos publicado hoje. A ferramenta é nova e os pesquisadores estimam que em pouco tempo estará nas mãos de muitas outras gangues. Em Maio, durante o incidente no qual a ferramenta foi descoberta, o grupo tentou usar o EDRKIllShifter para derrubar a proteção da Sophos no computador alvo, mas a ferramenta falhou: “Eles então tentaram rodar o executável do ransomware na máquina que controlavam, mas isso também falhou quando o recurso CryptoGuard do agente de endpoint foi acionado”, diz o relatório da Sophos.
Leia também
Grupo de ransomware usa nome da empresa de segurança Sophos
CISA faz alerta sobre bugs no Windows, Sophos e Oracle
A ferramenta EDRKillShifter é um executável “loader” – um mecanismo de entrega para um driver legítimo que é vulnerável a abuso (também conhecido como ferramenta “bring your own vulnerability driver,” ou BYOVD). Dependendo dos requisitos do agente da ameaça, ele pode entregar uma variedade de diferentes payloads de driver.
Há três etapas para o processo de execução deste carregador. O invasor deve executar o EDRKillShifter com uma linha de comando que inclua uma string de senha. Quando executado com a senha correta, o executável descriptografa um recurso incorporado chamado BIN e o executa na memória.
O código BIN descompacta e executa o payload final. Este payload final, escrito na linguagem de programação Go, descarta e explora um de uma variedade de drivers legítimos vulneráveis diferentes para obter privilégios suficientes para desengatar a proteção de uma ferramenta EDR.
