One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8558881 |
| Date de publication | 2024-08-16 18:22:27 (vue: 2024-08-16 19:18:17) |
| Titre | Les attaquants de ransomware présentent un nouveau tueur Edr dans leur arsenal Ransomware attackers introduce new EDR killer to their arsenal |
| Texte | ## Instantané Les analystes de Sophos ont récemment identifié un nouvel utilitaire de tuer EDR qu'ils identifient comme Edrkillshifter dans une attaque de ransomware défaillante, par un groupe criminel tentant d'utiliser RansomHub. ## Description L'outil EDR-Killing est conçu pour mettre fin aux logiciels de protection des points de terminaison et est un chargeur exécutable (également connu sous le nom de «Treat de votre propre pilote vulnérable» ou outil BYOVD), qui offre une variété de charges utiles de pilote différentes.L'attaquant doit exécuter Edrkillshifter avec une ligne de commande qui inclut une chaîne de mot de passe.Lors de l'exécution avec le mot de passe correct, l'exécutable décrypte une ressource intégrée nommée bin et l'exécute en mémoire.Le code bac déballait et exécute la charge utile finale.Cette charge utile finale, écrite dans le langage de programmation Go, laisse tomber et exploite l'une des différentes moteurs vulnérables et légitimes pour obtenir des privilèges suffisants pour décrocher une protection de l'outil EDR \\.La charge utile finale intégrée dans le chargeur change par incident.Sophos soupçonne que le seul objectif du chargeur \\ est de déployer la charge utile BYOVD finale. Selon Microsoft Threat Intelligence et autres chercheurs en sécurité, [RansomHub] (https://security.microsoft.com/intel-explorer/articles/57d133ec) Ransomware a évolué et rebaptisé à partir de Knight Ransomware, après que le gang Knight Ransomware a vendu son code source dansFévrier 2024. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composantes et les activités de menace comme la Malwa suivanteconcernant: - [Ransom: win64 / ransomhub] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=Ransom: win64 / ransomhub.b & menaceID = -2147056321) ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces de ransomware. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre des outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les attaquants d'empêcher les services de sécurité. - Exécutez [Détection et réponse de point de terminaison (EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_TA_Learndoc), de sorte que celaLe défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque l'antivirus Microsoft Defender fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants détectés après la lutte. - Activer [Investigation and remédiation] (https: // learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_ta_learndoc)En mode automatisé complet pour permettre au Defender pour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Les clients de Microsoft Defender peuvent activer [Règles de réduction de la surface d'attaque] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/attack-surface-reduction?ocid=Magicti_TA_LearnDoc) pour prévenir les techniques d'attaque communes utilisées utilisées utiliséDans les attaques de ransomwares.Les règles de réduction de la surface d'attaque sont |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 2147056321 365/security/defender accessed according action activities advanced after against age alert alerts all allow also analysts antivirus any are arsenal artifacts attack attacker attackers attacks attempting automated b&threatid= based behind bin block breach breaches but byovd can certain changes classes cloud code com/en com/intel com/microsoft command commands common compatibility components content copyright correct cover creations criminal criterion customers decrypts defender delivered delivers deploy description designed detect detected detection detections/hunting detects different distribution doesn driver drivers driver” drops edr edrkillshifter effective embedded enable encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/prevent entire equivalent even evolved evolving executable execute executes experience exploits explorer/articles/57d133ec failed february files final first following from full gain gang group has https://learn https://news https://security https://www huge identified identify immediate impact incident includes intelligence introduce investigation investigations issues its kill killer killing knight known language lateral learndoc learndoc#block learndoc#use learning legitimate line list loader machine majority malicious malware: may meet memory microsoft mitigations mode movement must name=ransom:win64/ransomhub named new non ocid=magicti older one on organizations originating origins other own part passive password payload payloads per permission post prevalence prevent privileges process product programming prohibited protection protections psexec purpose queries ransom ransom:win64/ransomhub ransomhub ransomhub: ransomware rapidly rebranded recently recommendations recommends reduce reducing reduction reference references remediate remediation reproduction researchers reserved resolve resource response rights rule rules run running run scenes security server services settings shifter/ should sight significantly site snapshot software sold sole some sophos source stage: stopping string sufficient surface suspects sweeping systems take tamper techniques terminate thereof threat threats tool tools trusted turn unhook unknown unless unpacks us/2024/08/14/edr us/wdsi/threats/malware use used utility variants variety volume vulnerable when without wmi works written your “bring features in to |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.