Блокираторы систем защиты стали обязательным инструментом в арсенале вымогателей

Злоумышленники, использующие программы-вымогатели, регулярно применяют инструменты, предназначенные для отключения программного обеспечения для обнаружения и реагирования на конечных точках перед запуском шифровальщиков. Эти инструменты, известные как «убийцы EDR», стали стандартным компонентом атак с использованием программ-вымогателей. Исследователи ESET отследили почти 90 таких активных инструментов в дикой природе.

Рабочий процесс одинаков для разных групп: злоумышленник получает высокие привилегии, развертывает «убийцу EDR» для нарушения работы защитного ПО, а затем запускает шифровальщик. Аффилиаты предпочитают этот подход, поскольку он дает им краткий, но надежный промежуток времени для завершения шифрования без необходимости постоянно модифицировать полезную нагрузку для уклонения от обнаружения.

Аффилиаты выбирают инструменты, операторы поставляют шифровальщик

В операциях по модели «вымогательство как услуга» операторы обычно предоставляют шифровальщик и поддерживающую инфраструктуру. Выбор «убийцы EDR» ложится на аффилиатов. По словам исследователя ESET Якуба Соучека, результатом является то, что более крупные пулы аффилиатов порождают большее разнообразие инструментов этого класса.

Такое разделение труда также означает, что защитники сталкиваются с более широким спектром инструментов от одного и того же бренда программы-вымогателя, в зависимости от того, какой аффилиат провел конкретную атаку.

Метод «Принеси свой уязвимый драйвер» доминирует, но альтернативы набирают популярность

Техника «Принеси свой уязвимый драйвер» остается наиболее распространенным методом. Злоумышленник размещает легитимный, но уязвимый драйвер на машине жертвы, устанавливает его, а затем запускает вредоносное ПО, которое использует уязвимость драйвера для получения доступа на уровне ядра. Этот метод надежен, хорошо документирован и требует относительно небольших усилий по разработке.

Меньшая, но растущая категория «убийц EDR» достигает аналогичных результатов без вмешательства в ядро. Эти инструменты мешают коммуникации EDR или приостанавливают процессы на месте, полностью обходя необходимость эксплуатации драйвера.

Самые простые «убийцы EDR» полагаются на встроенные административные инструменты и команды, не требуя ни специального драйвера, ни доступа к ядру.

Блокировка уязвимых драйверов необходима, но недостаточна

Предотвращение загрузки уязвимых драйверов является важным защитным шагом, хотя существует несколько техник обхода. Практический вывод заключается в том, что организациям необходимы средства контроля, способные нейтрализовать «убийц EDR» до того, как у них появится возможность загрузить драйвер.

Разработка с помощью ИИ вступает в игру

По оценке ESET, по крайней мере некоторые из недавно обнаруженных "убийц" EDR демонстрируют признаки создания кода с помощью ИИ. Не существует однозначного цифрового следа, который надежно отличал бы код, сгенерированный ИИ, от написанного человеком, особенно когда злоумышленники обфусцируют или дополнительно обрабатывают свой результат.

Конкретный пример можно взять из инструмента, используемого группой вымогателей Warlock. Этот инструмент содержит секцию кода, которая выводит список возможных исправлений — шаблон, характерный для шаблонного кода, созданного ИИ. Он также реализует механизм проб и ошибок, перебирающий несколько несвязанных, часто используемых злоумышленниками имен устройств, пока не найдет то, которое работает в целевой системе, вместо эксплуатации одного конкретного драйвера.

Сучек отметил, что подобный "виб-кодинг" усложняет отслеживание угроз и их атрибуцию.

Защита от вторжений вымогателей требует иного подхода

Кампании фишинга и распространенное вредоносное ПО останавливаются, как только защитные решения их нейтрализуют. Вторжения с целью шифрования не следуют этой схеме. Это интерактивные, управляемые человеком операции, в ходе которых злоумышленники постоянно адаптируются к обнаружениям, сбоям инструментов и условиям среды.

Это различие важно для того, как защитники расставляют приоритеты в ресурсах и разрабатывают стратегии обнаружения. Активность "убийц" EDR, в частности, требует упреждающего мониторинга на этапах повышения привилегий и установки драйверов, задолго до развертывания шифровальщика.