Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 28 Marzo 2025 14:08
Di EDRKillShifter ne avevamo abbondantemente parlato in passato sulle nostre pagine con diversi articoli sul tema Bring Your Own Vulnerable Driver (BYOVD).
Ricerche recenti condotte da ESET, hanno rivelato stretti legami tra vari gruppi ransomware: RansomHub, Medusa, BianLian e Play. Il collegamento tra loro era uno strumento specializzato per disattivare i sistemi di protezione: EDRKillShifter, sviluppato originariamente dai partecipanti a RansomHub. Ora viene utilizzato anche in attacchi da parte di altri gruppi, nonostante la natura chiusa dei loro modelli di distribuzione.
EDRKillShifter utilizza una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). La sua essenza sta nel fatto che gli aggressori installano un driver legittimo ma vulnerabile sui dispositivi infetti, attraverso il quale vengono disattivati i mezzi di rilevamento e risposta alle minacce.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ciò consente di eseguire il programma di crittografia senza il rischio di essere individuati dalle soluzioni antivirus e altre soluzioni di sicurezza.
Come hanno notato i ricercatori, gli autori di ransomware aggiornano raramente i loro programmi di crittografia per evitare bug che potrebbero danneggiare la loro reputazione. Pertanto, il software di sicurezza ha il tempo di imparare a rilevarli in modo efficace. In risposta a ciò, gli aggressori affiliati utilizzano sempre più spesso strumenti di disabilitazione della sicurezza per preparare il sistema al ransomware.
Di particolare interesse è il fatto che EDRKillShifter è stato creato appositamente per gli affiliati di RansomHub e ora viene utilizzato in attacchi per conto di Medusa, BianLian e Play. Inoltre, gli ultimi di due gruppi tradizionalmente non accettano nuovi membri e si affidano solo ad affiliati collaudati. Ciò indica una potenziale cooperazione tra membri di diversi gruppi criminali.
ESET suggerisce che alcuni membri dei gruppi RaaS chiusi, nonostante il loro isolamento interno, condividano gli strumenti con i concorrenti, compresi i nuovi arrivati. Questo comportamento è particolarmente atipico per coloro che solitamente si attengono a un set di strumenti di hacking collaudati.
I ricercatori ritengono che diversi attacchi recenti possano essere stati condotti dallo stesso attore, nome in codice QuadSwitcher. Secondo una serie di segnali, le sue azioni sono vicine ai metodi caratteristici del gruppo Play, il che potrebbe indicare una connessione diretta.
Inoltre, EDRKillShifter è stato utilizzato anche in attacchi per conto di un altro affiliato, CosmicBeetle, che lo ha utilizzato in almeno tre casi mentre agiva per conto di RansomHub e LockBit.
L’uso di queste tecniche BYOVD, soprattutto in ambienti aziendali, sta diventando sempre più comune. Nel 2024, il gruppo Embargo ho usato il programma MS4Killer per disattivare le soluzioni di sicurezza e più recentemente è stata individuata Medusa con il suo driver ABYSSWORKER , che svolgono funzioni simili.
Per impedire che tali strumenti vengano attivati, è necessario bloccare le azioni degli intrusi prima che ottengano i diritti di amministratore. Nei sistemi aziendali vale la pena attivare il riconoscimento delle applicazioni potenzialmente pericolose e monitorare l’installazione dei driver, soprattutto quelli con vulnerabilità note.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
